OpenSSL Heartbleed, esto pasa por no financiar el software libre

Hace ya mucho tiempo que el proyecto OpenSSL tiene graves problemas financieros para sostenerse, nadie quiere trabajar demasiado en su código y a la vez ninguna empresa le aporta demasiado ni para sostener los servidores. Aun así son justamente esas mismas empresas las que más utilizaban OpenSSL al punto que el bug encontrado, el Heartbleed, afectó al 66% de todos los servidores web.

El bug encontrado no es nuevo, desde 2012 está allí instalándose en todos los servidores, las discusiones rondan si es un bug o una infiltración de la NSA pero lo cierto es que la falta de recursos en un software que “nadie ve” pero todos usan es increíble. Todas las conexiones seguras pasan por OpenSSL porque es gratis, es fácil y funciona, cientos de miles de certificados que cuestan sus miles de dólares se basan en una tecnología por la cual no invirtieron ni un centavo y ahora eso los deja vulnerables.

¿Era el software cerrado la solución? ¡Por supuesto que no! el software libre permitió, justamente, que los investigadores de Codenomicon y Google Security encontrasen la falla y den aviso, pero esto me deja preguntándome justamente ¿Por qué no le prestamos atención a estas porciones del código? Es que no “venden”, no se ven como algo relevante, es más importante la fama y aportar para un proyecto ridículo de Kickstarter tiene más relevancia que a uno estructural de toda la web.

El Heartbleed es un bug terrible, expone TODO lo que sucede en las operaciones del TLS handshake, por cada conexión TLS expone 64Kb de memoria como si fuese una ventana al servidor, y digo pora cada conexión, esto implica que no son “hasta” 64Kb, podrían acceder, con un ataque bien hecho y coordiando, a toda la memoria del servidor accediendo así a las keys que se guardan, justamente, en memoria.

Es tan grave que ni siquiera requiere de técnicas complejas para exponer datos, y esto lleva a otro problema mucho mayor, cambiar TODOS los certificados del 66% de la web implica no sólo muchísimo tiempo, sino mucho dinero. Con dos años de vulnerabilidad y exposición ¿Qué certificado es válido y cual no? no podemos saberlo, nadie sabe si algún atacante aprovechó el exploit, simplemente hay que descartar todos los certificados.

Actualmente casi todos los proveedores mayores de servicios estan seguros, varios bancos estuvieron esta semana con problemas en sus sitios por este tema, todos aquellos que tengan un servidor con OpenSSL 1.0.1 hasta la versión OpenSSL 1.0.1f estan vulnerables, aquellos con versiones anteriores 1.0.0 ó 0.9.8 por suerte no, y los que actualicen deberán hacerlo a la 1.0.1g. La mayoría de las distribuciones de Linux más importantes ya han publicado sus parches.

Lamentablemente no hay forma de saber si alguien estuvo atacando tu servidor mediante este bug porque no deja log alguno, se puede configurar IDS/IPS para detectar llamadas pequeñas por SSL pero no se puede ver el contenido por ser, justamente, una conexión segura. Al día de la fecha nadie sabe si se utilizó o no de forma masiva para algún ataque, es pura ignorancia por la particularidad del bug de ser indetectable.

Para más información la gente de Codenomicon creó el site Heartbleed.com, si sos sysadmin y no te enteraste, por dió! vivís en una burbuja!, es hora de actualizar servidores