Se descubre el mayor fallo de seguridad de la historia

allmy #1 Abr '14 CSI

Se descubre el mayor fallo de seguridad de la historia de Internet

Apretad bien el culo antes de seguir leyendo.

El 7 de abril, se ha hecho la disclosure (dar a conocer) de lo que ha sido durante 2 años, el mayor bug de seguridad de toda la historia de Internet (por su alcance). Absolutamente todas las grandes páginas han estado afectadas: desde todos los servicios de Google, hasta las compañías de videojuegos, bancos, tiendas, redes sociales. Absolutamente todo. El fallo en cuestión está en la librería pública de encriptado SSL. Cada cierto tiempo, cuando se establece una conexión segura, el servidor manda un "latido" al cliente para saber si este sigue ahí. Al parecer, mandando unos paquetes determinados, se puede acceder de manera silenciosa a la memoria activa del servidor, pudiendo extraer contraseñas, certificados, cuentas bancarias, usuarios, etc... Por esta razón el fallo se ha llamado "HeartBleed". Aquí tenéis más información: http://heartbleed.com/

El fallo en cuestión ha sido descubierto por el grupo de seguridad Codenomicon y Google. Se informó a los encargados de la programación y actualización de SSL. Se ha sacado una actualización para solventar este bug, y la mayoría de las empresas grandes (estilo Google), han sido informadas con antelación y han podido protegerse.

No se sabe (ya que su explotación no deja rastro), durante estos 2 años, si ha sido afectada alguna página. Desde muchas empresas recomiendan cambiar contraseñas. Y personalmente, ya que esto afecta a la memoria activa del servidor, recomiendo no conectarse durante un tiempo a tiendas pequeñas, y webs que utilicen SSL. Las grandes deberían de estar protegidas, y en unos días a lo sumo, deberían de haber actualizado todo lo necesario. Sin embargo, no todas las empresas y web tienen la misma capacidad de reacción.

Como conspiranoia tengo que decir una cosa: ¿Os acordáis cuando salió que la NSA robaba datos a Google, y Google decía que no sabía como, que lo creía imposible? ¿Estaba la NSA enterada y ha cometido la mayor negligencia de su historia?

Enlaces de interés:

http://vimeo.com/91425662
http://alt1040.com/2014/04/heartbleed
http://www.abc.es/tecnologia/redes/20140409/abci-fallo-seguridad-internet-heartbleed-201404091954.html
http://www.europapress.es/portaltic/software/noticia-descubren-mayor-fallo-seguridad-internet-bug-heartbleed-20140409095830.html
http://heartbleed.com/
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

PD: Mediavida NO está afectada

7

Fit1 #2 Abr '14

ozama es el cabecilla.

spoiler

77 1 respuesta

B

[Borrado] #3 Abr '14

.

1 1 respuesta

T-1000 #4 Abr '14 en la nevera

Qué fuerte me parece xD

challenger #5 Abr '14 Abe Sapien

es apenas el comienzo.

R

r3s3r #6 Abr '14

Estoy tranquilo, no tengo nada que esconder. Quizás alguna web de shemales en marcadores y poco más.

55

Kaiserlau #7 Abr '14 Penitente

#2 siempre q lo recordais y poneis el log me parto el nabo

<MoRo> y enzima feo

xdddddddddd

4

L

LaDuquesa #8 Abr '14

#1 PD: MV no esta afectada.

Uy si ya puedo morir tranquila

Sigo sin saber que pasa, y si lo supiera me importa una mierda muy grande.

PocketAces #9 Abr '14 Penitente

Yo sólo espero que no aprovechen para robarme la contraseña de mediavida

1 1 respuesta

logandevil #10 Abr '14 Paper hands

#9 Todo internet sabe que se ha montado este bug con el único propósito de robarte la contraseña de MV. El resto de robo de cuentas bancarias, datos, y demás archivos ha sido una mera distracción para tenernos confusos.

17

B

[Borrado] #11 Abr '14

La página web de mi banco no está afectada. Paypal tampoco. De resto, porno y mierdas varias. Nada interesante.

Estoy a salvo.

#1 buen thread, es interesante.

Marjoram #12 Abr '14 Amityville

Espero que no me roben la cuenta del LoL, solo estoy a 4 ligas y 20 divisiones de ser Challenger!!

6

Vitov #13 Abr '14 Watson

creo recordar que hubo uno anterior mas basto que este, el sensacionalismo vende... yo no compro

NeV3rKilL #14 Abr '14 :psyduck:

#1 En un par de horas el fallo estaba arreglado en todos lados.

Para mi este fallo de seguridad no es más grave que cualquier otro fallo.

Se habla de que el antiguo director de seguridad de MS puede estar detrás de esto. Que saliese el día del adiós a XP no fue casualidad.

También hay que saludar al primer bug que tiene web corporativa propia (.com) junto a logo molón.

http://techcrunch.com/2014/04/09/heartbleed-the-first-consumer-grade-exploit/

http://techrights.org/2014/04/08/howard-schmidt-codenomicon/

Por supuesto que MV no está afectada, como que no utiliza ssl para nada. Lo cual es aún peor.

1 respuesta

Nucklear #15 Abr '14 BugHunter

#14 Wat?

En un par de horas estaba el commit a la librería de SSL hecho que no es ni de lejos solucionar el problema. Las empresas con una infraestructura considerable que no se pueden permitir downtime se las estan viendo negras para actualizar OpenSSL sin afectar al servicio ni su seguridad por lo que un gran porcentaje sigue siendo vulnerable.

Estas empresas no son las pequeñas precisamente por lo que el impacto de la vulnerabilidad es enorme. Ademas desde ayer hay en internet muchisimas PoCs para este bug por lo que la explotación se ha simplificado enormemente con lo que esto significa.

Y por si esto no fuese poco nadie garantiza que los certificados anteriores no hayan sido ya comprometidos por lo que todos esos que se piensen que parchear la vulnerabilidad es actualizar OpenSSL y olvidarse está muy lejos de la realidad. ¿Que supone esto? Que hay que regenerar los certificados SSL de todo internet, ¿Aun te parece poco impacto?

3 1 respuesta

B

[Borrado] #16 Abr '14

Para simplificar un poco, este error es a internet como un asteroide a los dinosaurios...

DiSKuN #17 Abr '14 Gafe

#1 MV no está afectada ya que no usa SSL, eego tu user/pass va en plano desde siempre.

En otro hilo ya se ha hablado del tema

Solo afecta a las últimas versiones de openssl

Actualizar paquetes + regenerar certificados = WIN

Ya hay un hilo donde se hablaba del tema

1 respuesta

Soltrac #18 Abr '14 MV Wizard

#17 Y vas a dejar la misma clave privada y las mismas contraseñas? Nadie te asegura que no te las hayan comprometido. Es serio, hay que reconocerlo.

Nucklear #19 Abr '14 BugHunter

Hoy todos y cada uno de los usuarios de servicios en internet debería estar cambiando sus contraseñas una vez se confirme que la vulnerabilidad se ha parcheado.

Pero eso...una vez que se ha parcheado porque:

Creo que no hace falta decir nada.

El impacto es bestial, y decidle vosotros a los grandes de internet que revoquen sus certificados de la noche a la mañana...

1 2 respuestas

choper #20 Abr '14

Y estos grandes fallos afectan al 99.9% del mundo, en..; nada.

1 respuesta

Nucklear #21 Abr '14 BugHunter

#20 No, en nada, tu no te preocupes hombre.

2 1 respuesta

choper #22 Abr '14

#21 uhm.. en nada.

Todo sigue y va a seguir igual. Y a nadie le van a robar datos de vaginas en lata ni de goldendildos. No os preocupéis.

1 respuesta

macatraca #23 Abr '14

Aquí hay una lista de los sitios donde se aconseja cambiar la contraseña:

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/?utm_content=bufferd925a&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

1 1 respuesta

Soltrac #24 Abr '14 MV Wizard

#19 Por primera vez en mi vida me alegro de ser un usuario de hotmail y no utilizar openssl jajajja. Por cierto, lo de yahoo mail es de TRACA.

#22 ?????. A mi lo q expones me hace gracia. No hace tanto, un usuario de forocoches que yo subestimé me robó 2 contraseñas por tenerlas compartidas. Estuvo apunto de acceder a mi facebook (no pudo porque conectó desde una IP sudaca y FB se lo bloqueó). Con esas 2 contraseñas pudo sacar 234500505 datos míos. Todo por una guerra de foros en un concurso de tarjetitas de bankia.

Yo subestimé a internet una vez, no voy a hacerlo más veces en mi vida.

suggus #25 Abr '14 De piña

Mi banco no está afectado, así que bien. La caixa sí.. jojojo.

B

[Borrado] #26 Abr '14

Aquí la gente se queja de la seguridad como si fueran archimillonarios bajo protección estatal. xD tranquis, lo máximo que van a robaros es la pw del Facebook. Las pelis son eso, pelis.

4 respuestas

Soltrac #27 Abr '14 MV Wizard

#26 Pelis? XDDDDDDDDDDDDDD. La ignorancia es atrevida.

4

Nucklear #28 Abr '14 BugHunter

#26 Mas bien gente como tu es una inconsciente que no sabe el daño que se puede hacer a una persona comprometiendo su identidad digital. A parte de tus datos bancarios, tus cuentas en redes sociales dicen mucho sobre ti y se venden bastante bien en el mercado negro, ni que decir de emails...

Lo dicho, ignorancia e inconsciencia.

3