OpenSSL Heartbleed, esto pasa por no financiar el software libre

Publicado por el 09/04/2014 a las 11:07 (4822)
Hace ya mucho tiempo que el proyecto OpenSSL tiene graves problemas financieros para sostenerse, nadie quiere trabajar demasiado en su código y a la vez ninguna empresa le aporta demasiado ni para sostener los servidores. Aun así son justamente esas mismas empresas las que más utilizaban OpenSSL al punto que el bug encontrado, el Heartbleed, afectó al 66% de todos los servidores web.

El bug encontrado no es nuevo, desde 2012 está allí instalándose en todos los servidores, las discusiones rondan si es un bug o una infiltración de la NSA pero lo cierto es que la falta de recursos en un software que "nadie ve" pero todos usan es increíble. Todas las conexiones seguras pasan por OpenSSL porque es gratis, es fácil y funciona, cientos de miles de certificados que cuestan sus miles de dólares se basan en una tecnología por la cual no invirtieron ni un centavo y ahora eso los deja vulnerables.

¿Era el software cerrado la solución? ¡Por supuesto que no! el software libre permitió, justamente, que los investigadores de Codenomicon y Google Security encontrasen la falla y den aviso, pero esto me deja preguntándome justamente ¿Por qué no le prestamos atención a estas porciones del código? Es que no "venden", no se ven como algo relevante, es más importante la fama y aportar para un proyecto ridículo de Kickstarter tiene más relevancia que a uno estructural de toda la web.

El Heartbleed es un bug terrible, expone TODO lo que sucede en las operaciones del TLS handshake, por cada conexión TLS expone 64Kb de memoria como si fuese una ventana al servidor, y digo pora cada conexión, esto implica que no son "hasta" 64Kb, podrían acceder, con un ataque bien hecho y coordiando, a toda la memoria del servidor accediendo así a las keys que se guardan, justamente, en memoria.

Es tan grave que ni siquiera requiere de técnicas complejas para exponer datos, y esto lleva a otro problema mucho mayor, cambiar TODOS los certificados del 66% de la web implica no sólo muchísimo tiempo, sino mucho dinero. Con dos años de vulnerabilidad y exposición ¿Qué certificado es válido y cual no? no podemos saberlo, nadie sabe si algún atacante aprovechó el exploit, simplemente hay que descartar todos los certificados.

Actualmente casi todos los proveedores mayores de servicios estan seguros, varios bancos estuvieron esta semana con problemas en sus sitios por este tema, todos aquellos que tengan un servidor con OpenSSL 1.0.1 hasta la versión OpenSSL 1.0.1f estan vulnerables, aquellos con versiones anteriores 1.0.0 ó 0.9.8 por suerte no, y los que actualicen deberán hacerlo a la 1.0.1g. La mayoría de las distribuciones de Linux más importantes ya han publicado sus parches.

Lamentablemente no hay forma de saber si alguien estuvo atacando tu servidor mediante este bug porque no deja log alguno, se puede configurar IDS/IPS para detectar llamadas pequeñas por SSL pero no se puede ver el contenido por ser, justamente, una conexión segura. Al día de la fecha nadie sabe si se utilizó o no de forma masiva para algún ataque, es pura ignorancia por la particularidad del bug de ser indetectable.

Para más información la gente de Codenomicon creó el site Heartbleed.com, si sos sysadmin y no te enteraste, por dió! vivís en una burbuja!, es hora de actualizar servidores



Comentarios

  1. Es loco, además, que sitios como yahoo se hayan tardado una eternidad en aplicar parches.

    Btw, también hay que emitir de nuevo los certificados ya que los viejos pueden haber sido interceptados. StartSSL se niega si uno no paga 25 usd. Parece que quieren sacarla de la lista de CAs confiables.

    https://bugzilla.mozilla.org/show_bug.cgi?id=994033

    Citar »
  2. debido a un NDA no puedo decir lo siguiente.

    Pero trabajo en una empresa MUY importante de las finanzas de Argentina... en sus billeteras tienen un producto de la firma...

    solo puedo decir que el nivel de histeria que fue ayer y hoy es tremendo.

    al parecer el BCRA dijo que se cambien todos los certificados que pudieron estar afectados.

    y por todos, no implica solo el del hombanking (que es uno), sino de todos los webservices, B2B y extranets.

    un lindo quilombo, por suerte yo solo soy espectador

    Citar »
  3. Gustavo V dijo:
    debido a un NDA no puedo decir lo siguiente.

    Pero trabajo en una empresa MUY importante de las finanzas de Argentina... en sus billeteras tienen un producto de la firma...

    solo puedo decir que el nivel de histeria que fue ayer y hoy es tremendo.

    al parecer el BCRA dijo que se cambien todos los certificados que pudieron estar afectados.

    y por todos, no implica solo el del hombanking (que es uno), sino de todos los webservices, B2B y extranets.

    un lindo quilombo, por suerte yo solo soy espectador


    es cierto lo que comenta gustavo.
    Por otro lado, si tenes un ssl/desencriptor antes del IPS/IDS, podes inspeccionar el trafico que le llega de forma transparente, asi y todo es un bolonqui saber si hubo exploit o no del bug.

    Citar »
  4. Y por qué hay que "financiar" al software libre? Me parece el título muy exagerado, además cuando lo "financian" es porque las empresas le ven algún beneficio, por ejemplo Linux, que ahora está en tu celular (Android) y cosas por el estilo.

    P.D.: En este caso el software "closed-source" gana, Microsoft no tiene problemas de este tipo, por ahora.

    Citar »

Deje su comentario:

(comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador sin previo aviso)

Security Image

Negrita Cursiva Imagen Enlace

Guardar los datos: Si / No