Fallo de seguridad muy grave en OpenSSL

Tras mucho tiempo sin aparecer por aquí debido a temas ajenos a la Seguridad Informática, sentía la obligación de postear esta noticia que sin duda es muy transcendental en el mundo de Internet.

Si no conocéis qué es OpenSSL, es una especie de almacen criptográfico que se utiliza en la mayoría de tráfico que se envía a través de Internet. Es usado para asegurar la información. Y es de código abierto.

Ayer mismo se descubrió este grave bug, y lo más sorprendente es que lleva dos años existiendo, sin ser conocido, claro está.

Lo denonimanos grave porque cualquier internauta del mundo se ha podido ver afectado, a nivel de credenciales y privacidad.

Los descubridores denoniman a este grave fallo como Heartbleed. Este fallo en resumidas cuentas lo que permite hacer es, burlar a un sistema que utilice OpenSSL para que muestre información que está alojada en el sistema. Y sistemas que tengan OpenSSL de hace dos años.

¿Y qué peligro tiene esto?

Pues se puede usar para recuperar claves privadas con las que son cifrados los datos teniendo por tanto acceso a información supuestamente cifrada.

Lo más sorprendente de esta vulnerabilidad es que lleva «oculta» desde Diciembre de 2011. Desde la versión 1.0.1 hasta la actual 1.0.1f publicada en enero de este mismo año. Y por supuesto la implantación a nivel mundial de OpenSSL muy usado como ya hemos dicho anteriormente.

heartbleed_openssl

Para los más «novatos» en el tema podemos tomar un claro ejemplo citado en otras redes como redeszone.net, es el siguiente:

Un ejemplo de la envergadura de esta vulnerabilidad es, por ejemplo, que el servidor web Apache, utilizado por aproximadamente el 50% de las páginas web a nivel mundial, utiliza OpenSSL, por lo que todo el tráfico que se genere en ellos quedará vulnerable.

Pronto habrá más noticias.

Un saludo a todos.