SEGURIDAD | Noticias | 14 ABR 2014

Las pruebas confirman que Heartbleed puede exponer el cifrado de servidores OpenSSL

Tags: Seguridad
Cuatro expertos han demostrado por separado que se puede obtener la clave de cifrado de un servidor, utilizando el gusano Heartbleed, un ataque posible aunque no confirmado hasta el momento. Se ha constatado por el reto que la compañía de seguridad CloudFlare ha lanzado a la comunidad de seguridad.
Heartbleed 3
Jeremy Kirk, IDG News Service

La compañía ha preguntado a la comunidad de seguridad si el fallo en la librería criptográfica OpenSSL, hecho que se hizo público la semana pasada, podría utilizarse para obtener la clave privada de servidor y así saltarse el canal seguro que mantienen los usuarios y las webs, conocido como SSL/TLS (Secure Sockets Layer/Transport Security Layer). Y los resultados son elocuentes, ya que confirman el peor escenario posible.


La clave privada es la parte del certificado de seguridad que verifica que el equipo de un usuario no se conecta a un sitio web falso, que intenta hacerse pasar por legítimo. Los navegadores indican que una conexión es segura con un candado y una advertencia, en caso de que el certificado no sea válido.
Los expertos en seguridad creen posible que la clave privada sea divulgada, aprovechando el citado gusano Heartbleed, que ya podría haber afectado a dos tercios de la Red y que ha desatado una loca carrera por aplicar un parche que lo arregle.

 

Con la obtención de la clave privada de un certificado SSL/TLS, un atacante podría crear un sitio web falso que pasara las verificaciones de seguridad. Incluso se podría vulnerar el tráfico entre usuario y servidor, ataque conocido como man-in-the-middle, o incluso descifrar comunicaciones encriptadas recopiladas en el pasado.

 

Heartbleed divulga datos, en bloques de 64K, de la memoria de un ordenador y puede incluir credenciales de inicio de sesión de usuarios conectados al servidor. Los atacantes pueden incluso vulnerar el servidor varias veces, por lo que se trata de una amenaza particularmente peligrosa, ya que deja poco rastro y permite a los piratas seguir afectando al servidor, en busca de la información deseada.

 

Los investigadores siguen tratando de averiguar las condiciones concretas que permiten que los datos sean revelados. OpenSSL es un programa de código abierto que se utiliza en muchos sistemas operativos, aplicaciones móviles, routers, así como en otros equipos de red.


La compañía ha demostrado la posibilidad de vulnerar estos sistemas y hasta cuatro intentos, protagonizados por universitarios europeos y norteamericanos, lograron éxito con sus ataques, de los que no han trascendido más detalles sobre la técnica empleada.
 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información