A raíz de la amplia cobertura mediática de la debacle de seguridad en Internet conocida como el error Heartbleed, es comprensible que muchos lectores estén ansiosos por saber qué pueden hacer para protegerse. Aquí hay una breve introducción.
Las preocupaciones del error Heartbleed una vulnerabilidad de seguridad en un componente de versiones recientes de OpenSSLuna tecnología en la que se basa una gran parte de los sitios web de Internet para proteger el tráfico, las contraseñas y otra información confidencial que se transmite hacia y desde los usuarios y visitantes.
Casi al mismo tiempo que esta grave falla se hizo de conocimiento público, se lanzó una herramienta en línea que permitía a cualquier persona en Internet obligar a los servidores de sitios web que ejecutaban versiones vulnerables de OpenSSL a volcar la parte más reciente de los datos procesados por esos servidores.
Esa porción de datos puede incluir nombres de usuario y contraseñas, cookies de navegador reutilizables o incluso las credenciales del administrador del sitio. Si bien el exploit solo permite volcar pequeños fragmentos de datos cada vez que se ejecuta, no hay nada que impida que los atacantes repitan el ataque una y otra vez, mientras registran datos nuevos que fluyen a través de servidores vulnerables. De hecho, he visto datos de primera mano que muestran que algunos atacantes han hecho precisamente eso; por ejemplo, compilando enormes listas de credenciales robadas de usuarios que iniciaban sesión en varios sitios que seguían siendo vulnerables a este error.
Por esta razón, creo que es una buena idea que los usuarios de Internet consideren cambiar las contraseñas al menos en los sitios que visitaron desde que este error se hizo público (lunes por la mañana). Pero es importante que los lectores primero hagan un esfuerzo para determinar que el sitio en cuestión no es vulnerable a este error antes de cambiar sus contraseñas. Aquí hay algunos recursos que pueden decirle si un sitio es vulnerable:
https://www.ssllabs.com/ssltest/
http://heartbleed.criticalwatch.com/
https://lastpass.com/heartbleed/
como yo dijo ayer al New York Times, es probable que muchas empresas en línea soliciten u obliguen a los usuarios a cambiar sus contraseñas en los próximos días y semanas, pero es posible que no lo hagan (p. ej., no estoy al tanto de los mensajes de Yahoo a su base de clientes sobre su extensión exposición a esto durante la mayor parte del día el lunes). Pero si le preocupa su exposición a este error, verificar el sitio y luego cambiar su contraseña es algo que puede hacer ahora (tenga en cuenta que es posible que se le solicite cambiarla nuevamente pronto).
Es muy posible que veamos una segunda ola de ataques contra este error, ya que también parece estar presente en una gran cantidad de hardware de Internet y productos de seguridad de terceros, como firewall comercial específico y red privada virtual (VPN). herramientas. La gran mayoría de las cosas que no son servidores web afectadas por este error serán dispositivos orientados a empresas (y no productos de consumo como enrutadores, por ejemplo). El Centro de tormentas de Internet SANS mantiene una lista de dispositivos comerciales de software y hardware que tienen parches disponibles para este error o que los necesitarán.
Para aquellos en busca de reseñas/análisis más técnicos del error Hearbleed, consulte este vídeo de Vimeo y esto entrada en el blog (punta de sombrero una vez más para Sandro Suffert).
Finalmente, dada la creciente conciencia pública sobre este error, es probable que los estafadores y otros estafadores aprovechen al máximo la situación. Evite responder a las invitaciones enviadas por correo electrónico para restablecer su contraseña; más bien, visite el sitio manualmente, ya sea utilizando un marcador de confianza o buscando el sitio en cuestión.
Relacionado:
Entonces, ¿crees que puedes detectar un skimmer? – Krebs sobre seguridad
¿Qué es lo más interesante del hackeo del sistema de agua de Florida? Que escuchamos sobre eso en absoluto. – Krebs sobre seguridad
