Video: ¿Cómo Solucionar Error SSL en Google Chrome? (Noviembre 2024)
SSL, abreviatura de Secure Sockets Layer, es lo que pone el S en HTTPS. Los usuarios expertos saben buscar HTTPS en la barra de direcciones antes de ingresar cualquier información confidencial en un sitio web. Nuestras publicaciones de SecurityWatch con frecuencia castigan las aplicaciones de Android que transmiten datos personales sin usar SSL. Por desgracia, el error "Heartbleed" recientemente descubierto permite a los atacantes interceptar la comunicación protegida por SSL.
El error se llama Heartbleed porque se complementa con una característica llamada heartbeat, afecta a versiones específicas de la biblioteca criptográfica OpenSSL ampliamente utilizada. Según el sitio web que se creó para informar sobre Heartbleed, la cuota de mercado combinada de los dos servidores web de código abierto más grandes que usan OpenSSL es más del 66 por ciento. OpenSSL también se utiliza para proteger el correo electrónico, los servidores de chat, las VPN y "una amplia variedad de software de cliente". Está por todo el lugar.
Es malo, realmente malo
Un atacante que aprovecha este error tiene la capacidad de leer los datos almacenados en la memoria del servidor afectado, incluidas las claves de cifrado más importantes. Los nombres y contraseñas de los usuarios y la totalidad del contenido cifrado también se pueden capturar. Según el sitio, "Esto permite a los atacantes espiar las comunicaciones, robar datos directamente de los servicios y usuarios y hacerse pasar por los servicios y usuarios".
El sitio continúa señalando que capturar claves secretas "le permite al atacante descifrar cualquier tráfico pasado y futuro a los servicios protegidos". La única solución es actualizar a la última versión de OpenSSL, revocar las claves robadas y emitir nuevas claves. Incluso entonces, si el atacante interceptó y almacenó tráfico cifrado en el pasado, las claves capturadas lo descifrarán.
Qué se puede hacer
Este error fue descubierto independientemente por dos grupos diferentes, un par de investigadores de Codenomicon y un investigador de seguridad de Google. Su fuerte sugerencia es que OpenSSL publique una versión que deshabilite por completo la función heartbeat. Con el lanzamiento de esa nueva edición, se podrían detectar instalaciones vulnerables porque solo responderían a la señal de latido, permitiendo "una respuesta coordinada a gran escala para llegar a los propietarios de servicios vulnerables".
La comunidad de seguridad se está tomando este problema en serio. Encontrará notas al respecto en el sitio web US-CERT (Equipo de preparación para emergencias informáticas de los Estados Unidos), por ejemplo. Puede probar sus propios servidores aquí para ver si son vulnerables.
Por desgracia, no hay final feliz para esta historia. El ataque no deja rastros, por lo que incluso después de que un sitio web soluciona el problema, no se sabe si los delincuentes han aprovechado datos privados. Según el sitio web Heartbleed, sería difícil para un IPS (Sistema de prevención de intrusiones) distinguir el ataque del tráfico cifrado normal. No sé cómo termina esta historia; Informaré cuando haya más que contar.
