Heartbleed, por qué deberías cambiar muchas de tus contraseñas Web


Ha sido el tema de conversación en Internet las últimas semanas. Una vulnerabilidad de software encontrada en la biblioteca de código abierto OpenSSL podría haber dejado al descubierto millones de password e info de usuarios en muchos sitios web. Aunque no se sabe si se ha explotado (no estaba reportado y cuando salió a la luz ya se había avisado a los principales sitios afectados) no es seguro que nadie lo hubiera descubierto antes y lo llevara usando mucho tiempo en la sombra.

El problema, al que se ha denominado Heartbleed, es un agujero de seguridad que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor. xkcd te lo explica (y explainxkcd hace lo propio con el comic). Hay quien compara el impacto de este asunto con el que se preveía para el efecto 2000

La lista de los sitios afectados es amplia, abarcando a los grandes Facebook, Google (Gmail, youTube...), Yahoo (Yahoo  Mail, Flickr, Tumblr), Dropbox, etc. Pero no está de más cambiar aquellas contraseñas que no se detallan en la lista, así como en aquellos sitios en los que se use el mismo par usuario/contraseña de un sitio comprometido (aunque todos sepamos que reutilizar contraseñas entre distintos sitios está mal)

La Wikipedia es de los pocos sitios afectados que avisan y recomiendan el cambio:
Se ha descubierto una vulnerabilidad en el software OpenSSL (detalles en inglés). Los servidores que alojan Wikipedia y el resto de proyectos de la Fundación Wikimedia han sido actualizados y, como medida de precaución, los usuarios registrados se verán obligados a volver a iniciar sesión con la nueva versión segura del software. Aunque no hay evidencia de que dicho ataque haya afectado a los usuarios, la Fundación recomienda cambiar la contraseña para garantizar la seguridad.
Las reacciones han sido variadas. Aparte de sugerir cambiar la contraseña, entre otros movimientos las grandes compañías se han puesto de acuerdo para financiar OpenSSL o la gente de openBSD ha creado un fork de OpenSSL (LibreSSL*) para desarrollar su propia versión de la biblioteca.

* Nota aparte merece que el sitio tenga Comic Sans MS y la etiqueta blink, no queda muy serio


0 comentarios:

Publicar un comentario

Si tienes cualquier cosa que decir, estaremos encantados de escucharla

Puedes usar html simple (<a>, <b>, <i>)

Si tienes problemas para escribir tu comentarios, inténtalo usando el formulario alternativo (ver más abajo)




Entradas más recientes Entradas más antiguas control-zeta.es