Publicidad
Publicidad

RSS Heartbleed

Los gigantes tecnológicos financiarán a OpenSSL para que algo como Heartbleed no se repita

6 Comentarios
Los gigantes tecnológicos financiarán a OpenSSL para que algo como Heartbleed no se repita

Tras todos los problemas que ha acarreado el fallo crítico de seguridad en OpenSSL llamado Heartbleed, hay una cosa que ha quedado clara en los consejos de administración de todas las compañías: algo así no puede volver a ocurrir. Y es por eso que los principales gigantes tecnológicos han decidido financiar el proyecto OpenSSL.

The Linux Foundation, por ejemplo, dedicará 3,9 millones de dólares durante tres años a varias iniciativas de código abierto con OpenSSL en primer lugar. Otras compañías (Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace y VMWare) han prometido donar cien mil dólares al año como mínimo.

Teniendo en cuenta que hasta ahora OpenSSL lo ha estado manteniendo un sólo programador trabajando a jornada completa y con un apoyo en donaciones de 2.000 dólares al año, estas aportaciones mejorarán con toda seguridad la fiabilidad de OpenSSL. O como mínimo liberar de trabajo a ese pobre programador con más personal de apoyo. De todas formas, las donaciones han empezado a aumentar por sí solas en cuanto todo el mundo se ha dado cuenta de la gravedad de Heartbleed.

Vía | Ars Technica
Imagen | Stephan Van Es
En Genbeta | LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Leer más »

LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

16 Comentarios
LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Un fenómeno habitual en el mundo de la seguridad, especialmente en el software libre, es el del descubrimiento en cascada de vulnerabilidades. Pasó hace un tiempo con Rails (un framework de desarrollo web) y ha pasado ahora con OpenSSL. Se descubre una vulnerabilidad grave que llevaban meses o incluso años ocultas, lo que llama la atención de investigadores que exploran más a fondo ese software y acaban descubriendo vulnerabilidades adicionales.

Después del descubrimiento de Heartbleed, los desarrolladores de OpenBSD, un sistema operativo tipo Unix, empezaron a explorar el código de OpenSSL. Lo normal suele ser que se descubran más vulnerabilidades y se reporten. En este caso no ha sido así: han visto fallos tan flagrantes y un código tan malo que han decidido directamente hacer un fork: LibreSSL.

Leer más »
Publicidad

Heartbleed y certificados SSL: por qué hay que renovarlos y por qué no se está haciendo bien

6 Comentarios
Heartbleed y certificados SSL: por qué hay que renovarlos y por qué no se está haciendo bien

A estas alturas ya es imposible que no hayáis oído hablar de Heartbleed. Después del descubrimiento de uno de los fallos de seguridad más importantes en la historia de Internet, las empresas y startups han tomado las medidas necesarias para corregirlo y mitigar daños, incluyendo avisar a los usuarios para que cambien sus contraseñas.

Entre las medidas para mitigar los daños se encuentra la revocación y renovación de los certificados SSL. Recordemos que en HTTPS (y demás conexiones SSL/TLS) esos certificados sirven para cifrar las comunicaciones y asegurarte de la identidad del servidor. Si un atacante obtiene la clave privada podría escuchar y descifrar el tráfico que creemos seguro.

Leer más »

La NSA se aprovechó del bug Heartbleed durante años para conseguir información, según Bloomberg

13 Comentarios
La NSA se aprovechó del bug Heartbleed durante años para conseguir información, según Bloomberg

Heartbleed está siendo el gran protagonista de la semana. Por si todavía no sabéis a lo que me refiero, se trata de un fallo en una librería SSL que podría haber dejado al descubierto mucha información sensible (aquí tenéis más detalles técnicos sobre el tema y aquí una imagen que resume el problema). Pero ¿de verdad nadie se dio cuenta de este fallo desde que en 2012 se subiera la primera versión con él? Pues no exactamente...

Al menos eso es lo que dice Bloomberg, que cita a dos fuentes de confianza para afirmar que la NSA (la Agencia de Seguridad Nacional de EEUU) no sólo conocía el fallo sino que ha estado aprovechándose del mismo regularmente durante al menos estos dos años para obtener datos personales de los usuarios y otra información privada. Si bien esto no es oficial, si se llega a confirmar podría suponer un gran palo para la reputación de la NSA, que precisamente no está pasando por su mejor momento después de todas las filtraciones sobre espionaje electrónico desveladas por Edward Snowden.

Leer más »

Así funciona Heartbleed: explicación sencilla para todos en una imagen

8 Comentarios
Así funciona Heartbleed: explicación sencilla para todos en una imagen

Durante los últimos días, Heartbleed está por todas partes. Este fallo de seguridad, que ha afectado a un montón de empresas y servicios importantes de Internet, ha llegado a dar el salto hasta a los medios convencionales. Nosotros ya explicamos por aquí el fundamento técnico tras el bug, pero lo cierto es que para gente con pocos conocimientos técnicos sobre el funcionamiento de Internet puede ser algo complicado de comprender.

Al rescate han salido los chicos del cómic "XKCD":http://xkcd.com/1354/, que en una única imagen resumen de forma sencilla y fácil de entender cómo funciona Heartbleed. Podéis ver el cómic completo a continuación:

Leer más »

Heartbleed, otro fallo extremadamente grave en una librería SSL

24 Comentarios
Heartbleed, otro fallo extremadamente grave en una librería SSL

Primero fue Apple con el goto fail, un fallo que permitía interceptar y descifrar tus conversaciones seguras. Después vino GnuTLS, una librería de SSL para Linux, con un fallo que daba por válidos todos los certificados de un tipo concreto. Por si no teníamos suficiente con eso, hoy tenemos otro fallo extremadamente grave (mucho peor que los anteriores) en la librería OpenSSL.

OpenSSL es una librería ampliamente usada en el mundo del desarrollo para implementar SSL/TLS. Por ejemplo, el servidor Apache la usa para establecer conexiones HTTPS sin tener que preocuparse de los detalles de implementación. Servidores de correo, chat o redes privadas virtuales (VPNs) son otros servicios que suelen usar esta librería.

Leer más »
Publicidad
Publicidad
Inicio
Inicio

Ver más artículos