GHOST, la primer gran vulnerabilidad del 2015

Qualys, firma internacional de seguridad informática, publicó hace algunas horas los detalles acerca de una antigua vulnerabilidad conocida como GHOST y registrada en la base de CVE (Vulnerabilidad y exposiciones comunes, por sus siglas en inglés) bajo el número 2015-0235.…

Vulnerabilidad Heartbleed. ¿De qué se trata?

Quizá en los últimos días hayan oído mencionar mucho las palabras Heartbleed y OpenSSL. Pero… ¿De qué se trata todo esto?

Heartbleed es el nombre que se le dió a un agujero de seguridad (bug o vulnerabiliad) que afecta a los servidores web como Apache y Nginx que utilizan tecnología OpenSSL para procesar sus transacciones seguras.

OpenSSL, hermano de OpenSSH, es un paquete de herramientas y librerías de código abierto que permite a los administradores de sitios web encriptar las comunicaciones cliente <–> servidor mediante certificados de seguridad (el famoso HTTPS), entre otras funcionalidades. Está basado en la librería SSLeay desarrollada por Eric Young y Tim Hudson y permite su uso con propósitos comerciales y no comerciales. Es, por esto último, que se estima que dos tercios de los sitios web de Internet podrían estar o haber estado afectados por esta vulnerabilidad.

Un poco de historia

La vulnerabilidad fue introducida en Diciembre de 2011 y distribuida junto con la versión 1.0.1 y posteriores de OpenSSL, publicada a partir del 14 de Marzo de 2012.

El pasado 3 de Diciembre de 2013, Neel Mehta, del equipo de Seguridad de Google, reportó la existencia de un bug en el código de las versiones 1.0.1, 1.0.1f  y 1.0.2 beta-1 que podría permitir que las comunicaciones cifradas sean interceptadas utilizando el método man-in-the-middle, en el que un atacante es capaz de leer y modificar la información intercambiada entre dos equipos sin generar ninguna sospecha. Además, la vulnerabilidad pone en riesgo las claves SSL privadas de los servidores, por lo que los sitios afectados debieron re-generar sus certificados de seguridad luego de corregir el fallo.

El nombre heartbleed (sangrado del corazón) fue elegido por un ingeniero de la firma de seguridad informática Codenomicon, quien también diseñó el logo y puso en línea el sitio oficial de la vulnerabilidad. Según información proporcionada por Codenomicon, Mehta reportó el fallo primero aunque ambos lo hicieron de manera independiente.

La vulnerabilidad quedó registrada bajo el CVE (Common Vulnerabilities and Exposures, por sus siglas en inglés) CVE-2014-0160. Considerando que fue introducida al código de OpenSSL en la versión 1.0.1, veriones anteriores también se encuentran seguras (1.0.0 y 0.9.8). Mediante el sitio oficial del proyecto, el pasado 7 de abril se publicó la versión 1.0.1g de OpenSSL que elimina la vulnerabilidad y se espera que en las próximas semanas se publique la 1.0.2-beta2 con la misma modificación.

Recomendaciones para usuarios

A una década del error del milenio Parte III

Queridos lectores,

El día de ayer he publicado una nota en la que podíamos advertir los defectos que aún continúan siendo moneda corriente en la programación de los sistemas informáticos.

El tan famoso Efecto año 2000, o Error del milenio aun sigue acechando… Segun información que nos ha hecho llegar el boletín de noticias español Hispasec, no fueron solo los bancos alemanes los afectados por el cambio de década reciente, sino que también surgieron los siguientes problemas:

Uno de los afectados ha sido precisamente una de las soluciones profesionales de seguridad de Symantec, Endpoint Protection Manager. Se trata de un producto que aúna diferentes protecciones de seguridad y, por supuesto, en el plano reactivo usa firmas que se actualizan regularmente para su antivirus, antispyware y su IPS. El problema es que todas las actualizaciones desde el último minuto del 31 de diciembre de 2009, han sido calificadas erróneamente por el programa como “desactualizados”, por lo que en este aspecto, los usuarios han quedado relativamente desprotegidos desde entonces.

Solución temporal

A una década del error del milenio

Queridos lectores,

Muchos de ustedes sabrán a que me refiero, otros quizá recién ahora escuchen nombrar el Efecto año 2000, Y2K o Error del milenio, entre tantos otros nombres que ha recibido este bug.

Adentrándonos en la historia, meses antes de comenzado el año 1999 se descubrió un bug o error de programación que afectaría a todos los equipos informáticos del mundo. Inmediatamente se generó una alarma social inmensa, que en pocas horas recorrió el mundo entero.

Este error de programación sacó a la luz una importante falla en cuanto a los sistemas informáticos y aplicaciones ejecutables en ellos. Hasta ese momento, los sistemas almacenaban internamente las fechas con lo últimos dos dígitos del año; tal es así, que el año 1999 era interpretado como 99. Esto tendría como consecuencia principal que después del 31 de diciembre de 1999, sería el 1 de enero de 1900 en vez de 1 de enero de 2000.

Por qué sucedería esto? Pues bien, si para los sistemas informáticos, 1999 era interpretado como 99, el año 2000 sería interpretado como 00, es decir, 1900. Otras herramientas, que permitían contar tres dígitos, tomarían la continuidad del 99 como 100, es decir, el año 19100.

Acciones a tener en cuenta