fbpx
Wikipedia

Heartbleed

Enero 14, 2022

Heartbleed (español: hemorragia de corazón) es un agujero de seguridad de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.[1]​ Investigaciones de auditorías muestran que, al parecer, algunos atacantes han explotado este error desde al menos cinco meses antes de que fuera descubierto y publicado.[cita requerida]

Heartbleed
Información general
Clasificación agujero de seguridad
Identificador CVE CVE-2014-0160
Fecha de descubrimiento 1 de abril de 2014
Descubridor Neel Mehta
Software afectado 1.0.1f
Enlaces
Sitio web oficial
[editar datos en Wikidata]

Historia

Aparición

La extensión Heartbeat para los protocolos Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) se propuso como un estándar en febrero del 2012 por el RFC 6520.[2]​ Esto provee una forma de probar y mantener viva un enlace de comunicación segura sin la necesidad de renegociar la conexión cada vez.

En 2011, uno de los autores del RFC, Robin Seggelmann, en ese tiempo un estudiante de doctorado en la Universidad de Duisburg-Essen, implementó la extensión Heartbeat para OpenSSL. Siguiendo la petición de poner su trabajo en OpenSSL,[3][4][5]​ su cambio fue revisado por Stephen N. Henson, uno de los cuatro desarrolladores del núcleo de OpenSSL. Henson aparentemente no se dio cuenta del error en la implementación de Seggelmann,[6]​ e introdujo el código con falla en el repositorio de OpenSSL el 31 de diciembre de 2011. El código vulnerable fue adoptado y usado ampliamente con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. El soporte de Heartbeat estaba habilitado de forma predeterminada, causando que las versiones afectadas fueran vulnerables por defecto.[7][8][9]

Descubrimiento

 
Explicación simplificada de "Heartbleed"

De acuerdo con Mark J. Cox de OpenSSL, Neel Mehta (Del equipo de seguridad de Google) reportó un Heartbleed en el 1 de abril de 2014.[10]​ El bug implicó un severo error en el manejo de memoria en la implementación de la "Transport Layer Security Heartbeat Extension".[2][11]​ Este defecto pudo ser usado para revelar más de 64 kilobytes de la memoria de la aplicación con cada heartbeat.[11]

El bug fue nombrado por un ingeniero en la firma Codenomicon, una empresa finlandesa de ciber seguridad, quien aparte creó el logo y lanzó el dominio Heartbleed.com para explicar el bug al público en general.[12]​ De acuerdo con la propia empresa, Neel Mehta primero reportó el bug a OpenSSL, pero ambos, Google y Codenomicon, lo descubrieron independientemente.[7]​ Codenomicon reporta al 3 de abril como su fecha de descubrimiento del bug y su fecha de notificación de NCSC-FI (formalmente conocido como CERT-FI) para coordinación de vulnerabilidades.[7][13]​ Mehta además felicitó a Codenomicon, sin ir a detalles.[14]

The Sydney Morning Herald publicó una línea del tiempo del descubrimiento el 15 de abril, la cual mostraba que algunas organizaciones podrían ser capaces de reparar el bug antes de su publicación. En algunos casos, no está tan claro cómo lo encontraron.[15]

Resolución

Bodo Moeller y Adam Langley de Google prepararon la corrección para Heartbleed. El parche resultante, que se añadió al seguimiento de incidencias de Red Hat, con fecha 21 de marzo de 2014.[16]​ La fecha cronológica siguiente disponible en la evidencia pública es la afirmación de CloudFlare de que ellos solucionaron el defecto en sus sistemas el 31 de marzo de 2014.[17]​ Stephen N. Henson aplica la corrección al sistema de control de versiones de OpenSSL, el 7 de abril.[18]​ La primera versión corregida, 1.0.1g, fue lanzada el mismo día.

Despliegue

Al 8 de mayo de 2014, 318 239 servidores web públicos eran todavía vulnerables.[19]

Renovación y revocación de certificados

Según Netcraft, alrededor de 30 000 de los más de 500 000 certificados X.509 que podrían haber sido comprometidos debido a Heartbleed habían sido reemitidos al 11 de abril de 2014, aunque menos habían sido revocados.[20]

El 9 de mayo de 2014, sólo el 43 % de los sitios web afectados habían reemitido sus certificados de seguridad.[21]​ Además, el 7 % de los certificados de seguridad reemitidos utilizaron las claves potencialmente comprometidos. «Mediante la reutilización de la misma clave privada, un sitio que se vio afectado por el fallo Heartbleed aún enfrenta exactamente los mismos riesgos que los que aún no lo han reemplazado sus certificados SSL», dijo Netcraft.[21]​ eWeek dijo, por su parte, Heartbleed «es probable que se mantenga un riesgo durante meses, si no años, por venir».[21]

Explotación

La Agencia de Ingresos de Canadá reportó el robo de números de Seguro Social que pertenecen a 900 contribuyentes, y declaró que fueron accedidos a través de un exploit del fallo durante un período de seis horas el 8 de abril de 2014.[22]​ Cuando el ataque se descubrió, la agencia cerró su sitio web y amplió el plazo de presentación de los contribuyentes 30 de abril al 5 de mayo.[23]​ La agencia dijo que ofrecerá a todos los afectados con servicios de protección al crédito sin costo alguno. El 16 de abril, la Policía Montada anunció que habían acusado a un estudiante de ingeniería en relación al robo con "uso no autorizado de una computadora" y de "mal uso en relación a datos".[24][25]

En otro incidente, el sitio de crianza de los hijos del Reino Unido Mumsnet tuvo varias cuentas de usuario secuestradas, y se hicieron pasar por su director general.[26]​ El sitio publicó una explicación de los hechos.[27]

A su vez, investigadores anti-malware explotaron Heartbleed para acceder a foros secretos utilizadas por ciberdelincuentes.[28]

El 12 de abril de 2014, al menos dos investigadores independientes fueron capaces de robar claves privadas usando este ataque desde un servidor experimental intencionalmente creado a tal fin por CloudFlare.[29][30]

Se informó por un profesor de la Universidad de Míchigan que una computadora en China se había utilizado para la piratería y otras actividades maliciosas intentó el 8 de abril de 2014 para explotar Heartbleed para atacar a un servidor de la universidad, que en realidad era un honeypot dejado intencionadamente vulnerable, diseñado para atraer a los ataques que podrían entonces ser estudiados.[31]

Posible conocimiento y explotación antes de la divulgación

Muchos sitios web importantes parcharon o desactivaron el fallo en cuestión de días de su anuncio,[32]​ pero no está claro si los atacantes potenciales sabían de él antes que eso y en qué medida lo fue explotado.

Sobre la base de los exámenes de los registros de auditoría por investigadores, se ha reportado que algunos atacantes podrían haber explotado el defecto durante al menos cinco meses antes del descubrimiento y anuncio.[33][34]​ Errata Security señaló que un programa no malicioso muy utilizado llamado "Masscan", liberada seis meses antes de la divulgación de Heartbleed, termina abruptamente la conexión en el medio de la negociación de inicio de la misma manera como Heartbleed, generando los mismos mensajes de registro del servidor, y agregó que "Dos cosas nuevas que producen los mismos mensajes de error que puede parecer que los dos están correlacionados, pero por supuesto, no lo están".[35]

Según Bloomberg News, dos fuentes de información privilegiada sin nombre le informaron que la Agencia de Seguridad Nacional (NSA) de los Estados Unidos estaba al tanto de la falla desde poco después de su introducción, pero decidieron mantenerlo en secreto, en lugar de informarlo, con el fin de explotarla para sus propios fines.[36][37][38]​ La NSA ha negado esta afirmación,[39]​ al igual que Richard A. Clarke, que fue miembro de un grupo consultivo que examinó la política de vigilancia electrónica de los Estados Unidos; le dijo a Reuters el 11 de abril de 2014 que la NSA no había sabido de Heartbleed.[40]

Comportamiento

La RFC 6520 Heartbeat Extension prueba los enlaces de comunicación segura TLS/DTLS al permitir que un ordenador en un extremo de una conexión envíe un mensaje de "solicitud de latido de corazón" ("Heartbeat Request"), que consiste en una carga útil, típicamente una cadena de texto, junto con la longitud de dicha carga útil como un entero de 16-bits. El equipo receptor debe entonces enviar la misma carga exacta de vuelta al remitente.

Las versiones afectadas de OpenSSL asignan un búfer de memoria para el mensaje a devolver basado en el campo de longitud en el mensaje de solicitud, sin tener en cuenta el tamaño real de la carga útil de ese mensaje. Debido a esta falla de revisión de los límites apropiados, el mensaje devuelto consta de la carga útil, posiblemente seguido de cualquier otra cosa que sea que esté asignada en el buffer de memoria.

Impacto

Al leer un bloque de memoria arbitrario del servidor web, los atacantes pueden recibir datos importantes, comprometiendo la seguridad del servidor y sus usuarios. Los datos que podrían ser robados incluyen la clave maestra del propio servidor, que puede permitir a los atacantes descifrar el tráfico actual o el almacenado, mediante un ataque pasivo man-in-the-middle (si el servidor y el cliente no usan perfect forward secrecy), o activo si perfect forward secrecy está en uso. El atacante no puede controlar qué datos le son devueltos, aunque por la naturaleza del bug, existe cierta probabilidad de que sean datos usados por la misma biblioteca OpenSSL.

Por lo anterior, el bug puede revelar partes descifradas de las peticiones y respuestas del usuario, incluyendo cualquier tipo de información subida por el usuario a través de la conexión "segura", cookies de sesión y contraseñas, etc., lo que permitiría al atacante suplantar la identidad de otro usuario del servicio. Al hacerse público, cerca del 17 % o medio millón de servidores de seguridad web de Internet certificados por autoridades confiables se creían vulnerables a ser atacados.[cita requerida] La Electronic Frontier Foundation,[41]Ars Technica,[42]​ y Bruce Schneier[43]​ catalogaron al bug Heartbleed como "catastrófico".[cita requerida] El columnista de Forbes, Joseph Steinberg, describió al bug como potencialmente "la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que Internet comenzó a tener tráfico comercial".[44]

Sitios web y servicios web

Un analista publicó en GitHub que de los mil sitios más visitados el 8 de abril del 2014, los siguientes presentaban vulnerabilidades: Yahoo!, Imgur, Stack Overflow, Slate, y DuckDuckGo.[45]​ Los siguientes sitios tienen servicios afectados o hicieron anuncios recomendando a sus usuarios cambiar sus contraseñas en respuesta a este fallo:

Aplicaciones de software

  • IPCop 2.1.4 fue liberado el 8 de abril de 2014, con una solución para "la biblioteca OpenSSL de la que todo el mundo está hablando".[70]
  • Según el blog LastPass Password Manager, una prueba estándar lo mostró como vulnerables hasta que fue parchado el 8 de abril[cita requerida], pero debido a su uso de encriptación adicional y perfect forward security, potenciales ataques no fueron capaces de explotar este error. Aun así, LastPass recomendó a sus usuarios cambiar las contraseñas que LastPass almacena para los sitios web vulnerables.[71]
  • LibreOffice 4.2.3 se lanzó el 10 de abril de 2014, con un arreglo para CVE 2014-0160.[72]
  • LogMeIn afirmó haber "actualizado muchos productos y partes de nuestros servicios que se basan en OpenSSL".[73]
  • Varias aplicaciones de servidor de HP, tales como: HP System Management Homepage (SMH) para Linux y Windows[74]

Además, la base de datos Common Vulnerabilities and Exposures, asociada con el Departamento de Seguridad Nacional de EE.UU., informa que las siguientes empresas han tenido su software/productos afectados por Heartbleed:

  • McAfee y en especial algunas versiones de software que proporciona una cobertura antivirus para Microsoft Exchange, cortafuegos de software, y McAfee Email and Web Gateway[75]
  • Productos de la Serie VMware Horizon, emuladores y suites de cloud computing.[76]

Servicios de juego, incluyendo Steam, Minecraft, Wargaming, League of Legends, GOG, Origin, SOE, Humble Bundle, y Path of Exile se vieron afectados y fueron reparados.[77]

Sistemas operativos

  • Android 4.1.1 (Jelly Bean), usado en varios teléfonos inteligentes[78]
  • Firmware para algunas estaciones base AirPort[79]
  • Firmware para routers Juniper[81][83]
  • Firmware de Windows 10 es el principal creador de "Heartbleed"

(El método más efectivo para desactivar el Heartbleed ha sido estudiado por la página Rigthxd MyF20.13)

Servicios de detección de vulnerabilidad

Varios servicios se han puesto a disposición para probar si Heartbleed afecta a un sitio determinado. Sin embargo, muchos servicios se han afirmado ser ineficaces para detectar el error. [134] Las herramientas disponibles incluyen:

  • Tripwire SecureScan[85]
  • AppCheck - revisión de binarios estáticos, de Codenomicon[86]
  • Arbor Network's Pravail Security Analytics[87]
  • Herramienta de revisión Norton Safeweb Heartbleed [88]
  • Herramienta de prueba de Heartbleed de una compañía de seguridad TI europea[89]
  • Scanner Heartbleed por el criptólogo italiano Filippo Valsorda[90]
  • Prueba de vulnerabilidad de Heartbleed de Cyberoam[91]
  • Critical Watch Free Online Heartbleed Tester[92]
  • Módulo scanner Heartbleed de Metasploit[93]
  • Scanner Heartbleed de servidores de Rehmann[94]
  • Detector Heartbleed de Lookout Mobile Security, una aplicación para dispositivos Android que determina la versión OpenSSL del dispositivo e indica si es el heartbeat vulnerable está habilitado[95][1]
  • Heartbleed checker por LastPass[96]
  • Scanner de red para vulnerabilidad Heartbleed de Pentest-Tools.com[97]
  • Scanner oficial de Red Hat escrita en Python[98]
  • Pruebas de servidor SSL de Qualys SSL Labs[99]​ la cual no solo revisa por el error Heartbleed, sino que también encuentra otros errores de implementación de SSL/TLS.
  • Extensiones de navegador, como Chromebleed[100]​ y FoxBleed[101]
  • SSL Diagnos[102]
  • CrowdStrike Heartbleed Scanner[103]​ - revisa routers, impresoras y otros dispositivos conectados dentro de una red incluyendo sitios web en intranets.[104]
  • Reporte de Sitios Netcraft[105]​ - indica si la confidencialidad de un sitio podría estar en riesgo debido a la explotación previa de Heartbleed al revisar datos de la encuesta SSL de Netcraft para saber si el sitio ofrecía la extensión TLS Heartbeat antes del descubrimiento de Heartbleed. La extensión Netcraft para Chrome, Firefox y Opera[106]​ también hace esta revisión, mientras revisa por certificados potencialmente comprometidos.[107]

Vulnerabilidad de OpenSSL

Vulnerabilidad según los descubridores del fallo:

  • OpenSSL 1.0.1g - No vulnerable (Corrección del fallo)
  • OpenSSL 1.0.1 a 1.0.1f - Vulnerable
  • OpenSSL 1.0.0 - No vulnerable
  • OpenSSL 0.9.8 - No vulnerable

Reacción

En el día que se dio a conocer, el Tor Project aconsejó en su blog a todo el que busque "fuerte anonimato y privacidad en Internet" debería "alejarse de Internet por completo por los próximos días mientras se arreglan las cosas".[108]

Heartbleed está registrado en el sistema Common Vulnerabilities and Exposures como CVE-2014-0160.[109]​ La Agencia de Impuestos Canadiense (Canada Revenue Agency) cerró su sitio web de servicios electrónicos debido a preocupaciones por el agujero de seguridad Heartbleed.

Quienes mantienen la plataforma de la Fundación Wikimedia aconsejaron a sus usuarios cambiar sus contraseñas.[110]

Medidas y acciones preventivas

Las medidas que se recomendaron tomar, por parte de administradores de sistemas, eran:[cita requerida]

  1. Aplicar el parche a OpenSSL y pasar a una versión que no estuviera afectada
  2. Reemitir el certificado de seguridad del sitio para eliminar la posibilidad de que estuviera comprometido
  3. revocar el certificado anterior

A los usuarios de los sitios afectados, por su parte, se les recomendó:[111]

  1. No entrar en los sitios que estaban afectados hasta que no se corrigiera el fallo de seguridad
  2. Una vez corregido, cambiar sus contraseñas para eliminar la posibilidad de que hubiera sido comprometida

Causa raíz, posibles lecciones y reacciones

Atendiendo a este problema las mayores compañías de tecnología del mundo acordaron donar millones de dólares para la creación de un grupo que financiará mejoras en programas de código abierto tipo OpenSSL. Amazon.com, Cisco Systems, Facebook, Google, IBM, Intel y Microsoft están entre la docena de compañías que han acordado financiar el grupo, llamado Core Infrastructure Initiative.[112]​ Cada una donará 300 000 dólares a este programa. La Fundación Linux, sin fines de lucro, anunció la formación del grupo el 24 de abril de 2014. El proyecto respaldará el desarrollo de software de código abierto, que constituye una parte crítica de la infraestructura tecnológica mundial pero cuyos desarrolladores no tienen necesariamente una financiación adecuada para su trabajo, dijo Jim Zemlin, director ejecutivo de la Fundación Linux.[113]​ La fundación OpenSSL es candidata a ser una de las primeras beneficiadas con este financiamiento.[112]

Véase también

Referencias

  1. Goodin, Dan (7 de abril de 2014). «Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping». ArsTechnica.com (en inglés). Consultado el 24 de abril de 2014. 
  2. Seggelmann, R. et al. (February 2012). «Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension». RFC 6520. Internet Engineering Task Force (IETF). Consultado el 8 de abril de 2014. 
  3. Grubb, Ben (11 de abril de 2014). «Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately». The Sydney Morning Herald. 
  4. «#2658: [PATCH] Add TLS/DTLS Heartbeats». OpenSSL. 2011. 
  5. «Meet the man who created the bug that almost broke the Internet». Globe and Mail. 11 de abril de 2014. 
  6. Site of Appearance and Discovery[aclaración requerida] on Github
  7. Codenomicon Ltd (8 de abril de 2014). «Heartbleed Bug». 
  8. Goodin, Dan (8 de abril de 2014). «Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping». Ars Technica. 
  9. Hagai Bar-El (9 de abril de 2014). «OpenSSL "Heartbleed" bug: what's at risk on the server and what is not». 
  10. «Mark J Cox – #Heartbleed». Consultado el 12 de abril de 2014. 
  11. The OpenSSL Project (7 de abril de 2014). «OpenSSL Security Advisory [07 Apr 2014]». 
  12. «Why is it called the 'Heartbleed Bug'?». 
  13. «Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - transl/Finnish researchers found a serious leakage of the heart of the Internet». 10 de abril de 2014. Consultado el 13 de abril de 2014. 
  14. Mehta, Neel. . Twitter. Archivado desde el original el 14 de abril de 2014. Consultado el 11 de abril de 2014. 
  15. Ben Grubb (14 de abril de 2014), «Heartbleed disclosure timeline: who knew what and when», The Sydney Morning Herald .
  16. «heartbeat_fix». Consultado el 14 de abril de 2014. 
  17. . 12 de abril de 2014. Archivado desde el original el 31 de julio de 2014. Consultado el 9 de junio de 2014. 
  18. Error en la cita: Etiqueta <ref> no válida; no se ha definido el contenido de las referencias llamadas fix
  19. Graham, Robert (8 de mayo de 2014). «300k servers vulnerable to Heartbleed one month later». Errata Security. Consultado el 7 de junio de 2014. 
  20. «Heartbleed certificate revocation tsunami yet to arrive». Netcraft. 11 de abril de 2014. Consultado el 24 de abril de 2014. 
  21. Sean Michael Kerner (10 de mayo de 2014). «Heartbleed Still a Threat to Hundreds of Thousands of Servers». eWEEK. 
  22. Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC News, 14 de abril de 2014 . Some of the details are in the video linked from the page.
  23. , Vancouver Sun, 13 de abril de 2014, archivado desde el original el 16 de junio de 2014, consultado el 9 de junio de 2014 .
  24. Thibedeau, Hannah (16 de abril de 2014). «Heartbleed bug accused charged by RCMP after SIN breach». CBC News. 
  25. Heartbleed hack case sees first arrest in Canada, BBC News, 16 de abril de 2014 .
  26. Kelion, Leo (14 de abril de 2014). «BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency». BBC News. 
  27. , Mumsnet, archivado desde el original el 29 de diciembre de 2017, consultado el 9 de junio de 2014 .
  28. Ward, Mark (29 de abril de 2014). «Heartbleed used to uncover data from cyber-criminals». BBC News. 
  29. Lawler, Richard (11 de abril de 2014). «Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible». Engadget. 
  30. . CloudFlare. 2014. Archivado desde el original el 12 de abril de 2014. 
  31. Jordan Robertson (16 de abril de 2014). «Hackers from China waste little time in exploiting Heartbleed». The Sydney Morning Herald. 
  32. Cipriani, Jason (9 de abril de 2014). «Heartbleed bug: Check which sites have been patched». CNET. 
  33. Gallagher, Sean (9 de abril de 2014). «Heartbleed vulnerability may have been exploited months before patch». Ars Technica. 
  34. "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
  35. Graham, Robert (9 de abril de 2014). «No, we weren't scanning for hearbleed[sic] before April 7». Errata Security. 
  36. Riley, Michael (12 de abril de 2014). «NSA Said to Exploit Heartbleed Bug for Intelligence for Years». Bloomberg L.P. 
  37. «Report: NSA exploited Heartbleed for years». USA Today. Consultado el 11 de abril de 2014. 
  38. «NSA exploited Heartbleed bug for two years to gather intelligence, sources say». Financial Post. Consultado el 11 de abril de 2014. 
  39. «Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence». National Security Agency. 11 de abril de 2014. 
  40. Mark Hosenball; Will Dunham (11 de abril de 2014). «White House, spy agencies deny NSA exploited 'Heartbleed' bug». Reuters. 
  41. Zhu, Yan (8 de abril de 2014). «Why the Web Needs Perfect Forward Secrecy More Than Ever». Electronic Frontier Foundation. 
  42. Goodin, Dan (8 de abril de 2014). «Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style». Ars Technica. 
  43. «Schneier on Security: Heartbleed». Schneier on Security. 11 de abril de 2014. 
  44. Steinberg, Joseph (10 de abril de 2014). «Massive Internet Security Vulnerability – Here's What You Need To Do». Forbes. 
  45. musalbas (Abril de 2014). «heartbleed-masstest». github.com (en inglés). Consultado el 24 de abril de 2014. 
  46. «Heartbleed FAQ: Akamai Systems Patched». Akamai Technologies. 8 de abril de 2014. 
  47. «AWS Services Updated to Address OpenSSL Vulnerability». Amazon Web Services. 8 de abril de 2014. 
  48. «Dear readers, please change your Ars account passwords ASAP». Ars Technica. 8 de abril de 2014. 
  49. «All Heartbleed upgrades are now complete». BitBucket Blog. 9 de abril de 2014. 
  50. «Keeping Your BrandVerity Account Safe from the Heartbleed Bug». BrandVerity Blog. 9 de abril de 2014. 
  51. «Twitter / freenodestaff: we've had to restart a bunch...». 8 de abril de 2014. 
  52. «Security: Heartbleed vulnerability». GitHub. 8 de abril de 2014. 
  53. «IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed». LifeHacker. 8 de abril de 2014. 
  54. «Heartbleed bug and the Archive | Internet Archive Blogs». Blog.archive.org. 9 de abril de 2014. Consultado el 14 de abril de 2014. 
  55. «Twitter / KrisJelbring: If you logged in to any of». Twitter.com. 8 de abril de 2014. Consultado el 14 de abril de 2014. 
  56. «The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ». PeerJ. 9 de abril de 2014. 
  57. . Help Center. Pinterest. Archivado desde el original el 21 de abril de 2014. Consultado el 20 de abril de 2014. 
  58. . Archivado desde el original el 14 de abril de 2014. Consultado el 13 de abril de 2014. 
  59. Staff (14 de abril de 2014). «We recommend that you change your reddit password». Reddit. Consultado el 14 de abril de 2014. 
  60. «IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI». Consultado el 13 de abril de 2014. 
  61. Codey, Brendan (9 de abril de 2014). «Security Update: We’re going to sign out everyone today, here’s why». SoundCloud. 
  62. "ctsai" (10 de abril de 2014). «SourceForge response to Heartbleed». SourceForge. 
  63. «Heartbleed». SparkFun. 9 de abril de 2014. 
  64. «Heartbleed». Stripe (company). 9 de abril de 2014. Consultado el 10 de abril de 2014. 
  65. «Tumblr Staff-Urgent security update». 8 de abril de 2014. Consultado el 9 de abril de 2014. 
  66. Hern, Alex (9 de abril de 2014). «Heartbleed: don't rush to update passwords, security experts warn». The Guardian. 
  67. Error en la cita: Etiqueta <ref> no válida; no se ha definido el contenido de las referencias llamadas wikimedia
  68. Grossmeier, Greg (10 de abril de 2014). «Wikimedia's response to the "Heartbleed" security vulnerability». Wikimedia Foundation blog. Wikimedia Foundation. Consultado el 10 de abril de 2014. 
  69. . 10 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 26 de abril de 2014. 
  70. IPCop (8 de abril de 2014). «IPCop 2.1.4 is released». SourceForge electronic mailing lists. 139697815506679. Consultado el 11 de abril de 2014. 
  71. Staff (8 de abril de 2014). «LastPass and the Heartbleed Bug». LastPass. 
  72. italovignoli (10 de abril de 2014). «LibreOffice 4.2.3 is now available for download». The Document Foundation. desde el original el 12 de abril de 2014. Consultado el 11 de abril de 2014. 
  73. «LogMeIn and OpenSSL». LogMeIn. Consultado el 10 de abril de 2014. 
  74. «HP Servers Communication: OpenSSL "HeartBleed" Vulnerability». 18 de abril de 2014. 
  75. «McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products». McAfee KnowledgeBase. McAfee. 17 de abril de 2014. 
  76. «Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed"». VMware, Inc. Consultado el 17 de abril de 2014. 
  77. Paul Younger (11 de abril de 2014). «PC game services affected by Heartbleed and actions you need to take». IncGamers. 
  78. «Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected». BGR Media. 16 de abril de 2014. 
  79. Snell, Jason (22 de abril de 2014). «Apple releases Heartbleed fix for AirPort Base Stations». Macworld. 
  80. Kleinman, Alexis (11 de abril de 2014). «The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do». The Huffington Post. 
  81. Yadron, Danny (10 de abril de 2014). «Heartbleed Bug Found in Cisco Routers, Juniper Gear». Dow Jones & Company, Inc. 
  82. «Cisco Security Advisory: OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products». Cisco. 9 de abril de 2014. 
  83. «2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)». Juniper Networks. 14 de abril de 2014. 
  84. . Western Digital. 10 de abril de 2014. Archivado desde el original el 19 de abril de 2014. Consultado el 26 de abril de 2014. 
  85. . Tripwire - Take Control of IT Security and Regulatory Compliance with Tripwire Software. Archivado desde el original el 16 de abril de 2014. Consultado el 7 de octubre de 2014. 
  86. . Archivado desde el original el 17 de octubre de 2014. Consultado el 7 de octubre de 2014. 
  87. . Archivado desde el original el 11 de abril de 2014. Consultado el 7 de octubre de 2014. 
  88. «Norton Safeweb Heartbleed Check Tool». Consultado el 7 de octubre de 2014. 
  89. «Heartbleed OpenSSL extension testing tool, CVE-2014-0160». Possible.lv. Consultado el 11 de abril de 2014. 
  90. "Heartbleed Scanner" por el criptólogo italiano Filippo Valsorda
  91. Herramienta de prueba de vulnerabilidad Heartbleed el 15 de abril de 2014 en Wayback Machine." de Cyberoam
  92. . Heartbleed.criticalwatch.com. Archivado desde el original el 14 de abril de 2014. Consultado el 14 de abril de 2014. 
  93. modulo Metasploit
  94. por Rehmann
  95. «Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App». Lookout Mobile Security blog. 9 de abril de 2014. Consultado el 10 de abril de 2014. 
  96. «Heartbleed checker». LastPass. Consultado el 11 de abril de 2014. 
  97. «OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools». Pentest-tools.com. Consultado el 11 de abril de 2014. 
  98. Stafford, Jared (14 de abril de 2014). «heartbleed-poc.py». Red Hat, Inc. 
  99. «Qualys's SSL Labs' SSL Server Test». Consultado el 7 de octubre de 2014. 
  100. «Chromebleed». Consultado el 7 de octubre de 2014. 
  101. . Archivado desde el original el 12 de octubre de 2014. Consultado el 7 de octubre de 2014. 
  102. «SSL Diagnos». SourceForge. Consultado el 7 de octubre de 2014. 
  103. «CrowdStrike Heartbleed Scanner». Consultado el 7 de octubre de 2014. 
  104. Lynn, Samara. «Routers, SMB Networking Equipment - Is Your Networking Device Affected by Heartbleed?». PCMag.com. Consultado el 24 de abril de 2014. 
  105. «Netcraft Site Report». Consultado el 7 de octubre de 2014. 
  106. «Netcraft Extensions». Consultado el 7 de octubre de 2014. 
  107. Mutton, Paul (24 de junio de 2014). «Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera». Netcraft. 
  108. «OpenSSL bug CVE-2014-0160». Tor Project. 7 de abril de 2014. 
  109. «CVE – CVE-2014-0160». Cve.mitre.org. Consultado el 10 de abril de 2014. 
  110. Grossmeier, Greg (10 de apbril de 2014). «Wikimedia’s response to the “Heartbleed” security vulnerability». Wikimedia (en inglés). Consultado el 24 de abril de 2014. 
  111. Pagliery, Jose (10 de abril de 2014). «ABC sobre la peor amenaza de Internet». CNN EXPANSIÓN. Consultado el 24 de abril de 2014. 
  112. «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects». The Linux Foundation. 24 de abril de 2014. 
  113. «Google y FB ayudan a reparar Heartbleed». CNN EXPANSIÓN. 24 de abril de 2014. Consultado el 24 de abril de 2014. 

Enlaces externos

  •   Wikimedia Commons alberga una categoría multimedia sobre Heartbleed.
  • Resumen y Q&A sobre el fallo por Codenomicon Ltd
  •   Datos: Q16244272
  •   Multimedia: Heartbleed bug

Enero 14, 2022
heartbleed, español, hemorragia, corazón, agujero, seguridad, software, biblioteca, código, abierto, openssl, solo, vulnerable, versión, permite, atacante, leer, memoria, servidor, cliente, permitiéndole, ejemplo, conseguir, claves, privadas, servidor, investi. Heartbleed espanol hemorragia de corazon es un agujero de seguridad de software en la biblioteca de codigo abierto OpenSSL solo vulnerable en su version 1 0 1f que permite a un atacante leer la memoria de un servidor o un cliente permitiendole por ejemplo conseguir las claves privadas SSL de un servidor 1 Investigaciones de auditorias muestran que al parecer algunos atacantes han explotado este error desde al menos cinco meses antes de que fuera descubierto y publicado cita requerida HeartbleedInformacion generalClasificacionagujero de seguridadIdentificador CVECVE 2014 0160Fecha de descubrimiento1 de abril de 2014DescubridorNeel MehtaSoftware afectado1 0 1fEnlacesSitio web oficial editar datos en Wikidata Indice 1 Historia 1 1 Aparicion 1 2 Descubrimiento 1 3 Resolucion 1 3 1 Despliegue 1 4 Renovacion y revocacion de certificados 1 5 Explotacion 1 5 1 Posible conocimiento y explotacion antes de la divulgacion 2 Comportamiento 3 Impacto 3 1 Sitios web y servicios web 3 2 Aplicaciones de software 3 3 Sistemas operativos 3 4 Servicios de deteccion de vulnerabilidad 4 Vulnerabilidad de OpenSSL 5 Reaccion 6 Medidas y acciones preventivas 7 Causa raiz posibles lecciones y reacciones 8 Vease tambien 9 Referencias 10 Enlaces externosHistoria EditarAparicion Editar La extension Heartbeat para los protocolos Transport Layer Security TLS y Datagram Transport Layer Security DTLS se propuso como un estandar en febrero del 2012 por el RFC 6520 2 Esto provee una forma de probar y mantener viva un enlace de comunicacion segura sin la necesidad de renegociar la conexion cada vez En 2011 uno de los autores del RFC Robin Seggelmann en ese tiempo un estudiante de doctorado en la Universidad de Duisburg Essen implemento la extension Heartbeat para OpenSSL Siguiendo la peticion de poner su trabajo en OpenSSL 3 4 5 su cambio fue revisado por Stephen N Henson uno de los cuatro desarrolladores del nucleo de OpenSSL Henson aparentemente no se dio cuenta del error en la implementacion de Seggelmann 6 e introdujo el codigo con falla en el repositorio de OpenSSL el 31 de diciembre de 2011 El codigo vulnerable fue adoptado y usado ampliamente con el lanzamiento de la version 1 0 1 de OpenSSL el 14 de marzo de 2012 El soporte de Heartbeat estaba habilitado de forma predeterminada causando que las versiones afectadas fueran vulnerables por defecto 7 8 9 Descubrimiento Editar Explicacion simplificada de Heartbleed De acuerdo con Mark J Cox de OpenSSL Neel Mehta Del equipo de seguridad de Google reporto un Heartbleed en el 1 de abril de 2014 10 El bug implico un severo error en el manejo de memoria en la implementacion de la Transport Layer Security Heartbeat Extension 2 11 Este defecto pudo ser usado para revelar mas de 64 kilobytes de la memoria de la aplicacion con cada heartbeat 11 El bug fue nombrado por un ingeniero en la firma Codenomicon una empresa finlandesa de ciber seguridad quien aparte creo el logo y lanzo el dominio Heartbleed com para explicar el bug al publico en general 12 De acuerdo con la propia empresa Neel Mehta primero reporto el bug a OpenSSL pero ambos Google y Codenomicon lo descubrieron independientemente 7 Codenomicon reporta al 3 de abril como su fecha de descubrimiento del bug y su fecha de notificacion de NCSC FI formalmente conocido como CERT FI para coordinacion de vulnerabilidades 7 13 Mehta ademas felicito a Codenomicon sin ir a detalles 14 The Sydney Morning Herald publico una linea del tiempo del descubrimiento el 15 de abril la cual mostraba que algunas organizaciones podrian ser capaces de reparar el bug antes de su publicacion En algunos casos no esta tan claro como lo encontraron 15 Resolucion Editar Bodo Moeller y Adam Langley de Google prepararon la correccion para Heartbleed El parche resultante que se anadio al seguimiento de incidencias de Red Hat con fecha 21 de marzo de 2014 16 La fecha cronologica siguiente disponible en la evidencia publica es la afirmacion de CloudFlare de que ellos solucionaron el defecto en sus sistemas el 31 de marzo de 2014 17 Stephen N Henson aplica la correccion al sistema de control de versiones de OpenSSL el 7 de abril 18 La primera version corregida 1 0 1g fue lanzada el mismo dia Despliegue Editar Al 8 de mayo de 2014 318 239 servidores web publicos eran todavia vulnerables 19 Renovacion y revocacion de certificados Editar Segun Netcraft alrededor de 30 000 de los mas de 500 000 certificados X 509 que podrian haber sido comprometidos debido a Heartbleed habian sido reemitidos al 11 de abril de 2014 aunque menos habian sido revocados 20 El 9 de mayo de 2014 solo el 43 de los sitios web afectados habian reemitido sus certificados de seguridad 21 Ademas el 7 de los certificados de seguridad reemitidos utilizaron las claves potencialmente comprometidos Mediante la reutilizacion de la misma clave privada un sitio que se vio afectado por el fallo Heartbleed aun enfrenta exactamente los mismos riesgos que los que aun no lo han reemplazado sus certificados SSL dijo Netcraft 21 eWeek dijo por su parte Heartbleed es probable que se mantenga un riesgo durante meses si no anos por venir 21 Explotacion Editar La Agencia de Ingresos de Canada reporto el robo de numeros de Seguro Social que pertenecen a 900 contribuyentes y declaro que fueron accedidos a traves de un exploit del fallo durante un periodo de seis horas el 8 de abril de 2014 22 Cuando el ataque se descubrio la agencia cerro su sitio web y amplio el plazo de presentacion de los contribuyentes 30 de abril al 5 de mayo 23 La agencia dijo que ofrecera a todos los afectados con servicios de proteccion al credito sin costo alguno El 16 de abril la Policia Montada anuncio que habian acusado a un estudiante de ingenieria en relacion al robo con uso no autorizado de una computadora y de mal uso en relacion a datos 24 25 En otro incidente el sitio de crianza de los hijos del Reino Unido Mumsnet tuvo varias cuentas de usuario secuestradas y se hicieron pasar por su director general 26 El sitio publico una explicacion de los hechos 27 A su vez investigadores anti malware explotaron Heartbleed para acceder a foros secretos utilizadas por ciberdelincuentes 28 El 12 de abril de 2014 al menos dos investigadores independientes fueron capaces de robar claves privadas usando este ataque desde un servidor experimental intencionalmente creado a tal fin por CloudFlare 29 30 Se informo por un profesor de la Universidad de Michigan que una computadora en China se habia utilizado para la pirateria y otras actividades maliciosas intento el 8 de abril de 2014 para explotar Heartbleed para atacar a un servidor de la universidad que en realidad era un honeypot dejado intencionadamente vulnerable disenado para atraer a los ataques que podrian entonces ser estudiados 31 Posible conocimiento y explotacion antes de la divulgacion Editar Muchos sitios web importantes parcharon o desactivaron el fallo en cuestion de dias de su anuncio 32 pero no esta claro si los atacantes potenciales sabian de el antes que eso y en que medida lo fue explotado Sobre la base de los examenes de los registros de auditoria por investigadores se ha reportado que algunos atacantes podrian haber explotado el defecto durante al menos cinco meses antes del descubrimiento y anuncio 33 34 Errata Security senalo que un programa no malicioso muy utilizado llamado Masscan liberada seis meses antes de la divulgacion de Heartbleed termina abruptamente la conexion en el medio de la negociacion de inicio de la misma manera como Heartbleed generando los mismos mensajes de registro del servidor y agrego que Dos cosas nuevas que producen los mismos mensajes de error que puede parecer que los dos estan correlacionados pero por supuesto no lo estan 35 Segun Bloomberg News dos fuentes de informacion privilegiada sin nombre le informaron que la Agencia de Seguridad Nacional NSA de los Estados Unidos estaba al tanto de la falla desde poco despues de su introduccion pero decidieron mantenerlo en secreto en lugar de informarlo con el fin de explotarla para sus propios fines 36 37 38 La NSA ha negado esta afirmacion 39 al igual que Richard A Clarke que fue miembro de un grupo consultivo que examino la politica de vigilancia electronica de los Estados Unidos le dijo a Reuters el 11 de abril de 2014 que la NSA no habia sabido de Heartbleed 40 Comportamiento EditarLa RFC 6520 Heartbeat Extension prueba los enlaces de comunicacion segura TLS DTLS al permitir que un ordenador en un extremo de una conexion envie un mensaje de solicitud de latido de corazon Heartbeat Request que consiste en una carga util tipicamente una cadena de texto junto con la longitud de dicha carga util como un entero de 16 bits El equipo receptor debe entonces enviar la misma carga exacta de vuelta al remitente Las versiones afectadas de OpenSSL asignan un bufer de memoria para el mensaje a devolver basado en el campo de longitud en el mensaje de solicitud sin tener en cuenta el tamano real de la carga util de ese mensaje Debido a esta falla de revision de los limites apropiados el mensaje devuelto consta de la carga util posiblemente seguido de cualquier otra cosa que sea que este asignada en el buffer de memoria Impacto EditarAl leer un bloque de memoria arbitrario del servidor web los atacantes pueden recibir datos importantes comprometiendo la seguridad del servidor y sus usuarios Los datos que podrian ser robados incluyen la clave maestra del propio servidor que puede permitir a los atacantes descifrar el trafico actual o el almacenado mediante un ataque pasivo man in the middle si el servidor y el cliente no usan perfect forward secrecy o activo si perfect forward secrecy esta en uso El atacante no puede controlar que datos le son devueltos aunque por la naturaleza del bug existe cierta probabilidad de que sean datos usados por la misma biblioteca OpenSSL Por lo anterior el bug puede revelar partes descifradas de las peticiones y respuestas del usuario incluyendo cualquier tipo de informacion subida por el usuario a traves de la conexion segura cookies de sesion y contrasenas etc lo que permitiria al atacante suplantar la identidad de otro usuario del servicio Al hacerse publico cerca del 17 o medio millon de servidores de seguridad web de Internet certificados por autoridades confiables se creian vulnerables a ser atacados cita requerida La Electronic Frontier Foundation 41 Ars Technica 42 y Bruce Schneier 43 catalogaron al bug Heartbleed como catastrofico cita requerida El columnista de Forbes Joseph Steinberg describio al bug como potencialmente la peor vulnerabilidad encontrada al menos en terminos de su impacto potencial desde que Internet comenzo a tener trafico comercial 44 Sitios web y servicios web Editar Un analista publico en GitHub que de los mil sitios mas visitados el 8 de abril del 2014 los siguientes presentaban vulnerabilidades Yahoo Imgur Stack Overflow Slate y DuckDuckGo 45 Los siguientes sitios tienen servicios afectados o hicieron anuncios recomendando a sus usuarios cambiar sus contrasenas en respuesta a este fallo Akamai Technologies 46 Amazon Web Services 47 Ars Technica 48 Bitbucket 49 BrandVerity 50 Freenode 51 GitHub 52 IFTTT 53 Internet Archive 54 Mojang 55 Mumsnet 26 PeerJ 56 Pinterest 57 Prezi 58 Reddit 59 Something Awful 60 SoundCloud 61 SourceForge 62 SparkFun 63 Stripe 64 Tumblr 65 66 Wattpad cita requerida Wikimedia incluido Wikipedia 67 68 Wunderlist 69 Aplicaciones de software Editar IPCop 2 1 4 fue liberado el 8 de abril de 2014 con una solucion para la biblioteca OpenSSL de la que todo el mundo esta hablando 70 Segun el blog LastPass Password Manager una prueba estandar lo mostro como vulnerables hasta que fue parchado el 8 de abril cita requerida pero debido a su uso de encriptacion adicional y perfect forward security potenciales ataques no fueron capaces de explotar este error Aun asi LastPass recomendo a sus usuarios cambiar las contrasenas que LastPass almacena para los sitios web vulnerables 71 LibreOffice 4 2 3 se lanzo el 10 de abril de 2014 con un arreglo para CVE 2014 0160 72 LogMeIn afirmo haber actualizado muchos productos y partes de nuestros servicios que se basan en OpenSSL 73 Varias aplicaciones de servidor de HP tales como HP System Management Homepage SMH para Linux y Windows 74 Ademas la base de datos Common Vulnerabilities and Exposures asociada con el Departamento de Seguridad Nacional de EE UU informa que las siguientes empresas han tenido su software productos afectados por Heartbleed McAfee y en especial algunas versiones de software que proporciona una cobertura antivirus para Microsoft Exchange cortafuegos de software y McAfee Email and Web Gateway 75 Productos de la Serie VMware Horizon emuladores y suites de cloud computing 76 Servicios de juego incluyendo Steam Minecraft Wargaming League of Legends GOG Origin SOE Humble Bundle y Path of Exile se vieron afectados y fueron reparados 77 Sistemas operativos Editar Android 4 1 1 Jelly Bean usado en varios telefonos inteligentes 78 Firmware para algunas estaciones base AirPort 79 Firmware para routers Cisco 80 81 82 Firmware para routers Juniper 81 83 Firmware de Windows 10 es el principal creador de Heartbleed El metodo mas efectivo para desactivar el Heartbleed ha sido estudiado por la pagina Rigthxd MyF20 13 Firmware para la familia de productos My Cloud de Western Digital 84 Servicios de deteccion de vulnerabilidad Editar Varios servicios se han puesto a disposicion para probar si Heartbleed afecta a un sitio determinado Sin embargo muchos servicios se han afirmado ser ineficaces para detectar el error 134 Las herramientas disponibles incluyen Tripwire SecureScan 85 AppCheck revision de binarios estaticos de Codenomicon 86 Arbor Network s Pravail Security Analytics 87 Herramienta de revision Norton Safeweb Heartbleed 88 Herramienta de prueba de Heartbleed de una compania de seguridad TI europea 89 Scanner Heartbleed por el criptologo italiano Filippo Valsorda 90 Prueba de vulnerabilidad de Heartbleed de Cyberoam 91 Critical Watch Free Online Heartbleed Tester 92 Modulo scanner Heartbleed de Metasploit 93 Scanner Heartbleed de servidores de Rehmann 94 Detector Heartbleed de Lookout Mobile Security una aplicacion para dispositivos Android que determina la version OpenSSL del dispositivo e indica si es el heartbeat vulnerable esta habilitado 95 1 Heartbleed checker por LastPass 96 Scanner de red para vulnerabilidad Heartbleed de Pentest Tools com 97 Scanner oficial de Red Hat escrita en Python 98 Pruebas de servidor SSL de Qualys SSL Labs 99 la cual no solo revisa por el error Heartbleed sino que tambien encuentra otros errores de implementacion de SSL TLS Extensiones de navegador como Chromebleed 100 y FoxBleed 101 SSL Diagnos 102 CrowdStrike Heartbleed Scanner 103 revisa routers impresoras y otros dispositivos conectados dentro de una red incluyendo sitios web en intranets 104 Reporte de Sitios Netcraft 105 indica si la confidencialidad de un sitio podria estar en riesgo debido a la explotacion previa de Heartbleed al revisar datos de la encuesta SSL de Netcraft para saber si el sitio ofrecia la extension TLS Heartbeat antes del descubrimiento de Heartbleed La extension Netcraft para Chrome Firefox y Opera 106 tambien hace esta revision mientras revisa por certificados potencialmente comprometidos 107 Vulnerabilidad de OpenSSL EditarVulnerabilidad segun los descubridores del fallo OpenSSL 1 0 1g No vulnerable Correccion del fallo OpenSSL 1 0 1 a 1 0 1f Vulnerable OpenSSL 1 0 0 No vulnerable OpenSSL 0 9 8 No vulnerableReaccion EditarEn el dia que se dio a conocer el Tor Project aconsejo en su blog a todo el que busque fuerte anonimato y privacidad en Internet deberia alejarse de Internet por completo por los proximos dias mientras se arreglan las cosas 108 Heartbleed esta registrado en el sistema Common Vulnerabilities and Exposures como CVE 2014 0160 109 La Agencia de Impuestos Canadiense Canada Revenue Agency cerro su sitio web de servicios electronicos debido a preocupaciones por el agujero de seguridad Heartbleed Quienes mantienen la plataforma de la Fundacion Wikimedia aconsejaron a sus usuarios cambiar sus contrasenas 110 Medidas y acciones preventivas EditarLas medidas que se recomendaron tomar por parte de administradores de sistemas eran cita requerida Aplicar el parche a OpenSSL y pasar a una version que no estuviera afectada Reemitir el certificado de seguridad del sitio para eliminar la posibilidad de que estuviera comprometido revocar el certificado anteriorA los usuarios de los sitios afectados por su parte se les recomendo 111 No entrar en los sitios que estaban afectados hasta que no se corrigiera el fallo de seguridad Una vez corregido cambiar sus contrasenas para eliminar la posibilidad de que hubiera sido comprometidaCausa raiz posibles lecciones y reacciones EditarAtendiendo a este problema las mayores companias de tecnologia del mundo acordaron donar millones de dolares para la creacion de un grupo que financiara mejoras en programas de codigo abierto tipo OpenSSL Amazon com Cisco Systems Facebook Google IBM Intel y Microsoft estan entre la docena de companias que han acordado financiar el grupo llamado Core Infrastructure Initiative 112 Cada una donara 300 000 dolares a este programa La Fundacion Linux sin fines de lucro anuncio la formacion del grupo el 24 de abril de 2014 El proyecto respaldara el desarrollo de software de codigo abierto que constituye una parte critica de la infraestructura tecnologica mundial pero cuyos desarrolladores no tienen necesariamente una financiacion adecuada para su trabajo dijo Jim Zemlin director ejecutivo de la Fundacion Linux 113 La fundacion OpenSSL es candidata a ser una de las primeras beneficiadas con este financiamiento 112 Vease tambien EditarShellshock Ataque POODLE TicketbleedReferencias Editar Goodin Dan 7 de abril de 2014 Critical crypto bug in OpenSSL opens two thirds of the Web to eavesdropping ArsTechnica com en ingles Consultado el 24 de abril de 2014 a b Seggelmann R et al February 2012 Transport Layer Security TLS and Datagram Transport Layer Security DTLS Heartbeat Extension RFC 6520 Internet Engineering Task Force IETF Consultado el 8 de abril de 2014 Grubb Ben 11 de abril de 2014 Man who introduced serious Heartbleed security flaw denies he inserted it deliberately The Sydney Morning Herald 2658 PATCH Add TLS DTLS Heartbeats OpenSSL 2011 Meet the man who created the bug that almost broke the Internet Globe and Mail 11 de abril de 2014 Site of Appearance and Discovery aclaracion requerida on Github a b c Codenomicon Ltd 8 de abril de 2014 Heartbleed Bug Goodin Dan 8 de abril de 2014 Critical crypto bug in OpenSSL opens two thirds of the Web to eavesdropping Ars Technica Hagai Bar El 9 de abril de 2014 OpenSSL Heartbleed bug what s at risk on the server and what is not Mark J Cox Heartbleed Consultado el 12 de abril de 2014 a b The OpenSSL Project 7 de abril de 2014 OpenSSL Security Advisory 07 Apr 2014 Why is it called the Heartbleed Bug Nain suomalaistutkijat loysivat vakavan vuodon internetin sydamesta transl Finnish researchers found a serious leakage of the heart of the Internet 10 de abril de 2014 Consultado el 13 de abril de 2014 Mehta Neel Don t forget to patch DTLS Twitter Archivado desde el original el 14 de abril de 2014 Consultado el 11 de abril de 2014 Ben Grubb 14 de abril de 2014 Heartbleed disclosure timeline who knew what and when The Sydney Morning Herald heartbeat fix Consultado el 14 de abril de 2014 CloudFlare Update on the Heartbleed OpenSSL Vulnerability 12 de abril de 2014 Archivado desde el original el 31 de julio de 2014 Consultado el 9 de junio de 2014 Error en la cita Etiqueta lt ref gt no valida no se ha definido el contenido de las referencias llamadas fix Graham Robert 8 de mayo de 2014 300k servers vulnerable to Heartbleed one month later Errata Security Consultado el 7 de junio de 2014 Heartbleed certificate revocation tsunami yet to arrive Netcraft 11 de abril de 2014 Consultado el 24 de abril de 2014 a b c Sean Michael Kerner 10 de mayo de 2014 Heartbleed Still a Threat to Hundreds of Thousands of Servers eWEEK Heartbleed bug 900 SINs stolen from Revenue Canada CBC News 14 de abril de 2014 Some of the details are in the video linked from the page Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug Vancouver Sun 13 de abril de 2014 archivado desde el original el 16 de junio de 2014 consultado el 9 de junio de 2014 Thibedeau Hannah 16 de abril de 2014 Heartbleed bug accused charged by RCMP after SIN breach CBC News Heartbleed hack case sees first arrest in Canada BBC News 16 de abril de 2014 a b Kelion Leo 14 de abril de 2014 BBC News Heartbleed hacks hit Mumsnet and Canada s tax agency BBC News Mumsnet and Heartbleed as it happened Mumsnet archivado desde el original el 29 de diciembre de 2017 consultado el 9 de junio de 2014 Ward Mark 29 de abril de 2014 Heartbleed used to uncover data from cyber criminals BBC News Lawler Richard 11 de abril de 2014 Cloudflare Challenge proves worst case scenario for Heartbleed is actually possible Engadget The Heartbleed Challenge CloudFlare 2014 Archivado desde el original el 12 de abril de 2014 Jordan Robertson 16 de abril de 2014 Hackers from China waste little time in exploiting Heartbleed The Sydney Morning Herald Cipriani Jason 9 de abril de 2014 Heartbleed bug Check which sites have been patched CNET Gallagher Sean 9 de abril de 2014 Heartbleed vulnerability may have been exploited months before patch Ars Technica Were Intelligence Agencies Using Heartbleed in November 2013 April 10 2014 Peter Eckersley EFF org Graham Robert 9 de abril de 2014 No we weren t scanning for hearbleed sic before April 7 Errata Security Riley Michael 12 de abril de 2014 NSA Said to Exploit Heartbleed Bug for Intelligence for Years Bloomberg L P Report NSA exploited Heartbleed for years USA Today Consultado el 11 de abril de 2014 NSA exploited Heartbleed bug for two years to gather intelligence sources say Financial Post Consultado el 11 de abril de 2014 Statement on Bloomberg News story that NSA knew about the Heartbleed bug flaw and regularly used it to gather critical intelligence National Security Agency 11 de abril de 2014 Mark Hosenball Will Dunham 11 de abril de 2014 White House spy agencies deny NSA exploited Heartbleed bug Reuters Zhu Yan 8 de abril de 2014 Why the Web Needs Perfect Forward Secrecy More Than Ever Electronic Frontier Foundation Goodin Dan 8 de abril de 2014 Critical crypto bug exposes Yahoo Mail other passwords Russian roulette style Ars Technica Schneier on Security Heartbleed Schneier on Security 11 de abril de 2014 Steinberg Joseph 10 de abril de 2014 Massive Internet Security Vulnerability Here s What You Need To Do Forbes musalbas Abril de 2014 heartbleed masstest github com en ingles Consultado el 24 de abril de 2014 Heartbleed FAQ Akamai Systems Patched Akamai Technologies 8 de abril de 2014 AWS Services Updated to Address OpenSSL Vulnerability Amazon Web Services 8 de abril de 2014 Dear readers please change your Ars account passwords ASAP Ars Technica 8 de abril de 2014 All Heartbleed upgrades are now complete BitBucket Blog 9 de abril de 2014 Keeping Your BrandVerity Account Safe from the Heartbleed Bug BrandVerity Blog 9 de abril de 2014 Twitter freenodestaff we ve had to restart a bunch 8 de abril de 2014 Security Heartbleed vulnerability GitHub 8 de abril de 2014 IFTTT Says It Is No Longer Vulnerable To Heartbleed LifeHacker 8 de abril de 2014 Heartbleed bug and the Archive Internet Archive Blogs Blog archive org 9 de abril de 2014 Consultado el 14 de abril de 2014 Twitter KrisJelbring If you logged in to any of Twitter com 8 de abril de 2014 Consultado el 14 de abril de 2014 The widespread OpenSSL Heartbleed bug is patched in PeerJ PeerJ 9 de abril de 2014 Was Pinterest impacted by the Heartbleed issue Help Center Pinterest Archivado desde el original el 21 de abril de 2014 Consultado el 20 de abril de 2014 Heartbleed Defeated Archivado desde el original el 14 de abril de 2014 Consultado el 13 de abril de 2014 Staff 14 de abril de 2014 We recommend that you change your reddit password Reddit Consultado el 14 de abril de 2014 IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI Consultado el 13 de abril de 2014 Codey Brendan 9 de abril de 2014 Security Update We re going to sign out everyone today here s why SoundCloud ctsai 10 de abril de 2014 SourceForge response to Heartbleed SourceForge Heartbleed SparkFun 9 de abril de 2014 Heartbleed Stripe company 9 de abril de 2014 Consultado el 10 de abril de 2014 Tumblr Staff Urgent security update 8 de abril de 2014 Consultado el 9 de abril de 2014 Hern Alex 9 de abril de 2014 Heartbleed don t rush to update passwords security experts warn The Guardian Error en la cita Etiqueta lt ref gt no valida no se ha definido el contenido de las referencias llamadas wikimedia Grossmeier Greg 10 de abril de 2014 Wikimedia s response to the Heartbleed security vulnerability Wikimedia Foundation blog Wikimedia Foundation Consultado el 10 de abril de 2014 Wunderlist amp the Heartbleed OpenSSL Vulnerability 10 de abril de 2014 Archivado desde el original el 13 de abril de 2014 Consultado el 26 de abril de 2014 IPCop 8 de abril de 2014 IPCop 2 1 4 is released SourceForge electronic mailing lists 139697815506679 Consultado el 11 de abril de 2014 Staff 8 de abril de 2014 LastPass and the Heartbleed Bug LastPass italovignoli 10 de abril de 2014 LibreOffice 4 2 3 is now available for download The Document Foundation Archivado desde el original el 12 de abril de 2014 Consultado el 11 de abril de 2014 LogMeIn and OpenSSL LogMeIn Consultado el 10 de abril de 2014 HP Servers Communication OpenSSL HeartBleed Vulnerability 18 de abril de 2014 McAfee Security Bulletin OpenSSL Heartbleed vulnerability patched in McAfee products McAfee KnowledgeBase McAfee 17 de abril de 2014 Response to OpenSSL security issue CVE 2014 0160 CVE 2014 0346 a k a Heartbleed VMware Inc Consultado el 17 de abril de 2014 Paul Younger 11 de abril de 2014 PC game services affected by Heartbleed and actions you need to take IncGamers Heartbleed Android 4 1 1 Jelly Bean could be seriously affected BGR Media 16 de abril de 2014 Snell Jason 22 de abril de 2014 Apple releases Heartbleed fix for AirPort Base Stations Macworld Kleinman Alexis 11 de abril de 2014 The Heartbleed Bug Goes Even Deeper Than We Realized Here s What You Should Do The Huffington Post a b Yadron Danny 10 de abril de 2014 Heartbleed Bug Found in Cisco Routers Juniper Gear Dow Jones amp Company Inc Cisco Security Advisory OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products Cisco 9 de abril de 2014 2014 04 Out of Cycle Security Bulletin Multiple products affected by OpenSSL Heartbleed issue CVE 2014 0160 Juniper Networks 14 de abril de 2014 Heartbleed Bug Issue Western Digital 10 de abril de 2014 Archivado desde el original el 19 de abril de 2014 Consultado el 26 de abril de 2014 Tripwire SecureScan Tripwire Take Control of IT Security and Regulatory Compliance with Tripwire Software Archivado desde el original el 16 de abril de 2014 Consultado el 7 de octubre de 2014 AppCheck static binary scan from Codenomicon Archivado desde el original el 17 de octubre de 2014 Consultado el 7 de octubre de 2014 Arbor Network s Pravail Security Analytics Archivado desde el original el 11 de abril de 2014 Consultado el 7 de octubre de 2014 Norton Safeweb Heartbleed Check Tool Consultado el 7 de octubre de 2014 Heartbleed OpenSSL extension testing tool CVE 2014 0160 Possible lv Consultado el 11 de abril de 2014 Heartbleed Scanner por el criptologo italiano Filippo Valsorda Herramienta de prueba de vulnerabilidad Heartbleed Archivado el 15 de abril de 2014 en Wayback Machine de Cyberoam Critical Watch Heartbleed Tester CVE 2014 0160 Heartbleed criticalwatch com Archivado desde el original el 14 de abril de 2014 Consultado el 14 de abril de 2014 modulo Metasploit Heartbleed Server Scanner por Rehmann Heartbleed Detector Check If Your Android OS Is Vulnerable with Our App Lookout Mobile Security blog 9 de abril de 2014 Consultado el 10 de abril de 2014 Heartbleed checker LastPass Consultado el 11 de abril de 2014 OpenSSL Heartbleed vulnerability scanner Online Penetration Testing Tools Ethical Hacking Tools Pentest tools com Consultado el 11 de abril de 2014 Stafford Jared 14 de abril de 2014 heartbleed poc py Red Hat Inc Qualys s SSL Labs SSL Server Test Consultado el 7 de octubre de 2014 Chromebleed Consultado el 7 de octubre de 2014 FoxBleed Archivado desde el original el 12 de octubre de 2014 Consultado el 7 de octubre de 2014 SSL Diagnos SourceForge Consultado el 7 de octubre de 2014 CrowdStrike Heartbleed Scanner Consultado el 7 de octubre de 2014 Lynn Samara Routers SMB Networking Equipment Is Your Networking Device Affected by Heartbleed PCMag com Consultado el 24 de abril de 2014 Netcraft Site Report Consultado el 7 de octubre de 2014 Netcraft Extensions Consultado el 7 de octubre de 2014 Mutton Paul 24 de junio de 2014 Netcraft Releases Heartbleed Indicator For Chrome Firefox and Opera Netcraft OpenSSL bug CVE 2014 0160 Tor Project 7 de abril de 2014 CVE CVE 2014 0160 Cve mitre org Consultado el 10 de abril de 2014 Grossmeier Greg 10 de apbril de 2014 Wikimedia s response to the Heartbleed security vulnerability Wikimedia en ingles Consultado el 24 de abril de 2014 Pagliery Jose 10 de abril de 2014 ABC sobre la peor amenaza de Internet CNN EXPANSIoN Consultado el 24 de abril de 2014 a b Amazon Web Services Cisco Dell Facebook Fujitsu Google IBM Intel Microsoft NetApp Rackspace VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects The Linux Foundation 24 de abril de 2014 Google y FB ayudan a reparar Heartbleed CNN EXPANSIoN 24 de abril de 2014 Consultado el 24 de abril de 2014 Enlaces externos Editar Wikimedia Commons alberga una categoria multimedia sobre Heartbleed Resumen y Q amp A sobre el fallo por Codenomicon Ltd Datos Q16244272 Multimedia Heartbleed bug Obtenido de https es wikipedia org w index php title Heartbleed amp oldid 140511049, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos