Grave vulnerabilidad en OpenSSL

[DAX]

El pasado 7 de abril se reportó un bug grave en la librería OpenSSL, bug que ha sido bautizado como "HeartBleed bug ya que el mismo se encuentra en la extensión TLS HeartBet de la librería OpenSSL y afecta tanto a servidores como clientes que utilicen dicha librería.

Por caso, hablamos de todos los servicios a los cuales nos conectamos vía (paradojicamente) "conexión segura" o SSL, los mas conocidos: SSH, HTTPS, pop3, imap y smtp SSL, ftp ssl, etc.

Este bug existe desde hace dos años y parece que nadie se dió cuenta de ello hasta, casualmente, el mismo momento en que Microsoft anunció el fin del soporte de actualizaciones para Windows XP.

Por lo pronto, debido a que este fallo es grave y puede afectar información sensible para los usuarios (correo, eBanking y hasta, válgame dios!, facebook!) se recomienda a todos los usuarios (y giles como uno que mantienen servidores) que apliquen el parche que ya ha sido lanzado, ya sea manualmente (esto es para linux, en windows lo único manual es formatear el disco para instalar linux) o actualizando el SO vía el administrador de paquetes correspondiente.

La vulnerabilidad descubierta posibilita que un atacante malintencionado (me copié la jerga de M$, digo, si es un atacante no creo que sea con buenas intenciones ) pueda acceder a hasta 64Kb del buffer de memoria SSL, ya sea del servidor o del cliente, esto implica que el atacante puede llegar a robarse la key SSL utilizada para las transacciones cliente-servidor y, con ello, obtener las contraseñas e información transferida entre uno y otro.

Se recomienda, luego de aplicar el parche o actualización de seguridad correspondiente, reiniciar todos los servicios afectados (o bien, a lo bruto, reiniciar la PC o servidor) y, en caso de duda de que dicha información pueda haber sido comprometida, cambiar los pares de key SSL regenerando las mismas.

Dicho todo esto y después de haber hecho lo que sugieren en mis PCs y servidores que administro, me voy a dormir que la paranoia que generó esta noticia fue peor que la generada por el fin de Windows XP

SaludOS/2

[frhfpwimb]

DAX lo leí no lo puedo creer, el error de números aleatorios de debian de hace unos años no era también en OpenSSL? y el error mas reciente de GnuTLS "goto fail" no afectaba también a conexiones seguras?

yo creo que esto es todo una locura, si son estos los bugs conocidos no me quiero imaginar los no conocidos.

[judoka]

Se recomienda, luego de aplicar el parche o actualización de seguridad correspondiente, reiniciar todos los servicios afectados (o bien, a lo bruto, reiniciar la PC o servidor) y, en caso de duda de que dicha información pueda haber sido comprometida, cambiar los pares de key SSL regenerando las mismas.

Regenerar las key SSL, es el manual a seguir. Cómo tambien deberia cambiarse todas las claves que pueden haber sido "vistas".

Por lo pronto, debido a que este fallo es grave y puede afectar información sensible para los usuarios (correo, eBanking y hasta, válgame dios!, facebook!) se recomienda a todos los usuarios (y giles como uno que mantienen servidores) que apliquen el parche que ya ha sido lanzado, ya sea manualmente (esto es para linux, en windows lo único manual es formatear el disco para instalar linux) o actualizando el SO vía el administrador de paquetes correspondiente.

NO! el Facebook nooo!

Este bug tuvo repercusiones importantes, pensar de que este bug puede haber sido introducido intencionalmente. Asegurarse de que se distribuya masivamente y tener una puerta trasera en todos lados. Pero también puede haber sido simple irresponsabilidad de los desarrolladores de OpenSSL, como apunta Theo De Raadt, fundador de OpenBSD.

También, plausible, la irresponsabilidad de los desarrolladores de OpenSSL pudo haber sido asegurado por otras agencias. Escribiendo mal código, documentando pobremente para que potenciales audiores se asusten, implementando su propia locacion en memoria, y no testeando debidamente es lo que hace que un bug así aparezca.

Para los que quieren leer un poco más acerca del bug, un desarrollador de OpenBSD comentó acerca del código en dos artículos:
http://www.tedunangst.com/flak/post/heartbleed-vs-mallocconf
http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse

Saludos.

[ThecaTTony]

Estoy sin PC en casa, así que tengo la seguridad de que ningún atacante podrá acceder a mis archivos, salvo que rompa la puerta y se lleve los discos bajo el brazo.
A todo esto, el banco que succiona mis ingresos utiliza token's numéricos de 6 digitos, por lo que la contraseña, de obtenerla no sirve ni siquiera para ingresar ¿los token's que tan replicables son?

[DAX]

Aprovecho este tema para traer al colación una discusión que suele darse sobre software libre vs. software propietario.

Si bien soy partidario del software libre (por muchos motivos), no llego al punto de convertirme en un fanático dogmático que recita la biblia del software libre ante todo pagano que ose criticarla, por eso, estoy haciendo este comentario.

Uno de los puntos que los defensores del software libre suelen echarle por la cabeza a quienes dudan o viven felices con su windows xp vencido y sin actualizar es que tienen la libertad de poder revisar el código del software por si mismos (o, si el usuario es la abuelita de una que vive con los dos mangos de su jubilación, contratar a un programador que hará valor su conocimiento y pagarle con su alma).

En lo personal, el poder ver que hace el código del software me parece totalmente válido cuando hablamos de organismos gubernamentales o empresas que deben cuidar sus secretos industriales. Pero, al usuario común realmente eso no le importa, lo único que pretende es que su planilla de cálculo haga los cálculos (valga la redundancia) correctamente, que su navegador abra facebook para sentirse parte del mundo y su cuenta de gmail, yahoo o teroboelmail.com para ver si alguien se acordó de enviarle spam, un virus y hacerle pishing.

Entonces, una de las principales máximas y argumento de evangilización queda un poco fuera de servicio si tenemos en cuenta que es lo que realmente pretende el usuario. El usuario es usuario, es decir, usa, no crea, no corrige, no audita, no verifica el software, solo lo usa y mientras más fácil sea su uso, mucho mejor.

Ahora, ¿por qué viene a cuento todo esto en este tema? Fácil, el bug heartbleed (corazón sangrante) fue "introducido" en el código de OpenSSL el 31/12/2011, pasaron mas de 2 años hasta que fue descubierto y por experto en seguridad informática, no por el nerd que contrató mi abuelita con su jubilación, sino por empresas que se dedican a buscar fallas de seguridad en todo soft que anda dando vueltas por el mundo. Y sin embargo tardaron 2 (DOS) años en descubrir la falla, quizás, mas importante en la historia de la seguridad informática.

Así que, señores evangelistas que repiten lo que dice el librito del buen samarito de la FSF, por favor, cambien el libreto, muestren que el software libre también es sencillo, que pueden entrar a facebook, al mail, ver videos, chatear con los amigos, jugar, etc. Lo técnico déjenlo para los técnicos, el usuario solo quiere algo que funcione medianamente bien (digo medianamente por la mayoría se conforma con windows y ahi no puedo decir solo "bien").

SaludOS/2

[frhfpwimb]

jueves, 5 de junio de 2014
OpenSSL corrige nuevas vulnerabilidades graves
Cuando aun siguen escuchándose los ecos de heartbleed, el proyecto OpenSSL acaba de publicar un boletín advirtiendo de la corrección de siete nuevas vulnerabilidades que afectarían a la implementación de los protocolos SSL, TLS y DTLS. Los problemas anunciados, entre otros efectos, podrían permitir la realización de ataques de hombre en el medio (Man-In-The-Middle) o la ejecución remota de código arbitrario.

[judoka]

jueves, 5 de junio de 2014
OpenSSL corrige nuevas vulnerabilidades graves
Cuando aun siguen escuchándose los ecos de heartbleed, el proyecto OpenSSL acaba de publicar un boletín advirtiendo de la corrección de siete nuevas vulnerabilidades que afectarían a la implementación de los protocolos SSL, TLS y DTLS. Los problemas anunciados, entre otros efectos, podrían permitir la realización de ataques de hombre en el medio (Man-In-The-Middle) o la ejecución remota de código arbitrario.

Esa vulnerabilidad afecta a cualquier versión de servidor de OpenSSL 1.01 and 1.02(beta). Es decir, cualquier versión para servidor que haya sido lanzado partir desde el 2012.

No alcanza en la práctica a mucha gente (de forma masiva), porque el cliente también tiene que estar usando OpenSSL, y los navegadores más usados no lo usan. Ejemplo: Firefox y Chrome/Chromium que usan NSS

Saludos

[frhfpwimb]

Persiste la cifra de 300.000 servidores afectados por Heartbleed
Han pasado un par de meses desde el último conteo y los números no mejoran.

[ThecaTTony]

Con menor repercusión que el heartbleed, el bug reportado de BASH el 24/9/2014 ha estado presente desde 1993

Se fue todo a la bosta...