Esta nueva vulnerabilidad en el núcleo de la encriptación de Internet podría tener implicaciones de largo alcance.
El error Heartbleed ha sido noticia en todo el mundo después de que se descubrió que, potencialmente, dos tercios de la Internet eran vulnerable. El código erróneo ha expuesto claves de cifrado a posibles piratas informáticos, lo que significa que la mayor parte de nuestros datos sensibles pueden ser robados fácilmente. Veamos lo que esto significa para el futuro.
El lunes 07 de abril una advertencia urgente fue lanzada por el proyecto OpenSSL detallando un bug muy peligroso llamado Heartbleed. Informes sobre la vulnerabilidad se han extendido como pólvora, ya que potencialmente afecta el software de cifrado utilizado por dos tercios de los servidores en Internet del mundo, con graves consecuencias para la seguridad de los datos del usuario. Se reveló que grandes sitios como Yahoo, Flickr, DuckDuckGo, Eventbrite e Imgur podrían estar en riesgo, mientras que innumerables portales más pequeños, junto con los servicios de correo electrónico y de mensajería instantánea, también habían sido expuestos al código problemático.
La peor parte de todo es que esta vulnerabilidad ha estado activa durante casi dos años, y no había forma de saber si alguien había utilizado el exploit, debido a que actúa sin dejar rastro.
Mientras que los informes del bug proliferaron toda la web y se publicaron en los medios tradicionales, los usuarios estaban confundidos por las recomendaciones de algunos para cambiar inmediatamente sus contraseñas, mientras que otros advirtieron que a menos que el sitio en cuestión haya solucionado el problema en primer lugar, las nuevas contraseñas serían igual de vulnerables.
El investigador de seguridad Ivan Ristic trabajó toda la noche para producir una página web sencilla en la que los usuarios interesados pueden probar para ver si un sitio en particular había sido comprometido, mientras que Mashable contactó a las principales empresas de redes sociales y poveedores de correo electrónico para ver si habían sido afectados por Heartbleed. Facebook, Google, Instagram, Tumblr y Pinterest revelaron que habían aplicado los parches defijación antes de conocerse públicamente, pero no habían encontrado ninguna señal de robo de datos.
La recomendación general era que los usuarios deben cambiar sus contraseñas en estos sitios sólo para estar seguro. Tumblr incluso publicó un mensaje en su blog que anime exactamente eso. “Esto podría ser un buen día para hacerse el enfermo y tomar algún tiempo para cambiar sus contraseñas en todas partes” dijo el blog, “especialmente a sus servicios de alta seguridad como el correo electrónico, almacenamiento de archivos, y la banca, que pueden haber sido afectados por este error”.
El gobierno canadiense, incluso dio el paso extraordinario de asumir el servicio de presentación electrónica de impuestos fuera de línea durante uno de los momentos más intensos del año en respuesta al problema Heartbleed.
“Como medida preventiva, la CRA ha cerrado temporalmente el acceso del público a nuestros servicios en línea para salvaguardar la integridad de la información que tenemos”, dijo la Agencia de Ingresos de Canadá en un comunicado.
Entonces, ¿qué es exactamente Heartbleed, y ¿cómo puede ser tan extendida?
El principal problema con el fallo es que se encuentra en la biblioteca de software criptográfico OpenSSL, que es la forma más popular de los protocolos de seguridad que se utilizan en la web. Esto significa que el propio código que se implementa para garantizar la seguridad y privacidad de las comunicaciones, podría ser la mayor amenaza para éstos.
Cuando se conecta a un sitio web o servicio seguro de Internet, se establece una conexión privada entre su navegador y el servidor web. Generalmente, usted puede ver esto en el icono de candado y el texto “https” que aparece al comienzo de la url en la barra de direcciones de su navegador.
Esta conexión es validada por un certificado que emite el servidor para dejar a su navegador saber que es quien dice ser. Los datos transferidos entre los dos, se cifra a través de Secure Socket Layer (SSL), o su sucesor Transport Layer Security (TLS), que utiliza una mezcla de claves públicas, privadas y simétricas que aseguran que sólo su computadora y el servidor web pueden descifrar y leer la información sensible.
Una vez que termina el período de sesiones las llaves se hacen redundantes y se descartan, y se crearán otras nuevas la próxima vez que se conecte. Al menos esa es la forma en que está destinado a trabajar. Desafortunadamente una modificación en el código de OpenSSL llamada Heartbeat dejó un agujero muy grave en este proceso supuestamente seguro. Se descubrió que mediante el uso de una técnica sencilla era posible para los hackers descargar los paquetes de datos de las sesiones seguras anteriores sobre los servidores que ejecutan el código. Esto podría incluir información personal y, más importante aún, las claves reales utilizados para protegerlos.
“Básicamente, un atacante puede tomar 64K de memoria de un servidor”, escribió el experto en seguridad Bruce Schneier en su blog. “El ataque no deja rastro, y se puede hacer varias veces para tomar otros 64K aleatorios de la memoria. Esto significa que cualquier cosa en la memoria, SSL claves privadas, claves de usuario, cualquier cosa es vulnerable. Y usted tiene que asumir que todo estará comprometido. Todo. ‘Catastrófica’ es la palabra correcta. En la escala de 1 a 10, se trata de una 11”.
Steve Gibson, co-host del podcast de Security Now, también se refirió a su programa sobre las nuevas capacidades del error, indicando que “Se trata de un exploit bidireccional. Así que si el cliente tenía esto, entonces algo que se ha hecho la conexión podría venir por su memoria también. ”
El error fue descubierto inicialmente por la empresa de seguridad finlandesa Codenomicon, aunque también el ingeniero de Google Neel Mehta se acredita por el descubrimiento. Al probar una nueva variante de su software de salvaguardia, los ingenieros de Codenomicon encuentran errores preocupantes relativos a OpenSSL. Para profundizar en el error, los ingenieros decidieron hackear su propio sitio.
“Hemos probado algunos de nuestros propios servicios desde la perspectiva de [un] atacante”, la compañía reveló en su página web para Heartbleed. “Atacamos a nosotros mismos desde fuera, sin dejar rastro. Sin el uso de cualquier información privilegiada o credenciales pudimos robar a nosotros mismos las claves secretas utilizadas por nuestros certificados X.509, nombres de usuario y contraseñas, mensajes instantáneos, correos electrónicos y documentos críticos de negocio y comunicación.”
“Estas son las joyas de la corona”, dijo la compañía. “Las mismas claves de cifrado. Claves secretas filtradas permite al atacante descifrar todo el tráfico el pasado y el futuro de los servicios protegidos y se haga pasar por el servicio a voluntad. Toda protección propuesta por el cifrado y las firmas en los certificados X.509 pueden ser anuladas. La recuperación de esta fuga requiere parchear la vulnerabilidad, la revocación de las claves comprometidas y volver a emitir y redistribuir nuevas claves. Incluso haciendo todo esto todavía se quedará el tráfico ya interceptado por el atacante previamente vulnerable al robo”.
En este mundo post-Snowden, algunos comentaristas comenzaron a preguntarse si este código erróneo, junto con el error GoToFail alto perfil recientemente encontrado en el software de Apple, puede que no sea un error en absoluto.
“En este momento”, escribió Bruce Schneier, “la probabilidad es cercana a uno que todos los objetivos ha tenido sus claves privadas extraídos por múltiples agencias de inteligencia. La verdadera pregunta es si alguien insertado deliberadamente este error en OpenSSL, y ha tenido dos años de un acceso sin restricciones a todo. Mi conjetura es accidente, pero no tengo pruebas”.
¿Cuánto daño del bug Heartbleed ha causado? es casi imposible calcular en este momento. Las empresas se han apresurado para parchear el código, mientras que los servicios habilitados para expedir certificados están luchando heroicamente para satisfacer las demandas que esta revelación ha creado. Si alguien se tropezó con la vulnerabilidad durante sus dos años en el salvaje es una incógnita, pero a los riesgos de esto no se les puede restar importancia. Aunque no hay mucho que pueda hacer sobre el pasado, la sugerencia de Tumblr para tomarse el día libre y cambiar todas sus contraseñas es definitivamente una buena idea. Mientras estás en ello activar la verificación en dos pasos en tantos dispositivos y servicios que pueda. No te va a proteger contra Heartbleed como tal, pero es sólo una cuestión de tiempo antes de que llegue la próxima gran amenaza, así que bien podría estar listo.