Video: Heartbleed Exploit - Discovery & Exploitation (Noviembre 2024)
Las noticias de esta semana han estado dominadas por discusiones sobre el error Heartbleed, que permite a los piratas informáticos recoger datos directamente de la memoria de los servidores seguros afectados. Los datos capturados pueden incluir claves de cifrado, contraseñas y cualquier información enviada a través de un canal HTTPS supuestamente seguro. El error ha estado presente durante más de dos años, y dado que el ataque no deja rastro, no tenemos idea de cuánto ha sido explotado.
¿Quién es vulnerable?
Los asistentes de contraseña de LastPass han agregado una nueva arruga al informe de comprobación de seguridad del producto. Ahora, además de marcar contraseñas débiles y duplicadas, enumera cualquiera de los sitios guardados que son o fueron vulnerables a Heartbleed. Le pedí a varios usuarios de LastPass que me enviaran los resultados de ese informe, solo para tener una idea de lo que hay ahí fuera.
Tengo más de 200 contraseñas almacenadas en LastPass. Solo seis de ellos fueron reportados como vulnerables, y dos ya habían sido reparados. Al agregar los resultados de mis colegas, vi 50 sitios vulnerables, de los cuales 30 todavía no se han parcheado.
El informe LastPass recomienda que cambie su contraseña para los sitios que han sido parcheados para corregir el error. Para los demás, sugiere esperar hasta después de que el sitio anuncie una actualización, ya que su nueva contraseña aún sería vulnerable. Para mí, sugiero tomar Heartbleed como una llamada de atención para cambiar todas sus contraseñas, asegurándome de que todas sean seguras y que no haya dos sitios que utilicen la misma contraseña. Tendrá que cambiar las contraseñas de los sitios aún vulnerables nuevamente después de que se corrijan, pero cambiarlas ahora minimiza el potencial de exposición.
Las mejores tiendas
Para otra vista, tomé los 20 sitios de compras más populares de Alexa y los ejecuté a través de un par de pruebas en línea. El investigador Filippo Valsorda creó una prueba poco después de la noticia de Heartbleed. LastPass también está organizando una prueba a pedido
Encontré los resultados de la prueba de Valsorda un poco confusos. La prueba devolvió un mensaje de error como "tubería rota" o "tiempo de espera de E / S" para cinco de los 20 sitios que probé. Nueve sitios obtuvieron un estado de salud limpio, ya que la prueba informó que estaban "arreglados o no afectados". Los seis restantes devolvieron un mensaje de error debido al hecho de que la conexión se transfirió a una red de entrega de contenido y el certificado de CDN no coincidía con el dominio que ingresé. Al marcar la casilla para ignorar los certificados, todos obtuvieron un resultado "fijo o no afectado", pero la página de prueba advierte que esto puede ser un resultado falso.
La página de prueba suministrada por LastPass brinda mucha más información. Reportó diez de los sitios como posiblemente inseguros. Eso significa que la prueba no pudo determinar si el sitio usa o no OpenSSL, la biblioteca criptográfica afectada por el error Heartbleed. Probablemente, cuatro de los sitios eran vulnerables porque usan OpenSSL, y dos de ellos ahora son seguros. Otros cuatro sitios definitivamente no eran vulnerables, y uno que definitivamente era vulnerable ahora es seguro. Eso deja solo un sitio que no se pudo analizar debido a un error de conexión.
El probador LastPass Heartbleed también informa qué tan recientemente se cambió el certificado SSL de cada sitio. Un certificado que se modificó poco después de que se publicaron las noticias sobre Heartbleed es una buena indicación de que el sitio se vio afectado, pero ahora es seguro.
En cuanto a todos los sitios cuyo estado no está claro, su mejor opción es esperar un anuncio del propio sitio. Sin embargo, ten cuidado. No haga clic en ningún enlace de restablecimiento de contraseña que reciba en un correo electrónico, porque algunos de ellos son fraudes. Navegue directamente al sitio, cambie su contraseña y asegúrese de que su administrador de contraseñas se dé cuenta del cambio.
Manténgase al día con la cobertura continua de PCMag del error Heartbleed aquí.
