El lunes 7 de abril se encontró una gran vulnerabilidad conocida como “Heartbleed” en la popular biblioteca criptográfica OpenSSL, que se usa ampliamente con aplicaciones y servidores web. Por tanto, los sitios y servicios de Internet están ocupados reparando esta vulnerabilidad y actualizando los certificados SSL para proteger a sus clientes. Como se dijo, OpenSSL v1.0.1 a 1.0.1f (inclusive) son vulnerables y OpenSSL 1.0.1g lanzado el 7 de abril de 2014 corrige este error.
Un extracto de Heartbleed.com dice,
Heartbleed Bug es una vulnerabilidad grave en la popular biblioteca de software criptográfico OpenSSL. Esta debilidad permite robar la información protegida, en condiciones normales, por el cifrado SSL / TLS utilizado para asegurar Internet. SSL / TLS proporciona seguridad y privacidad en las comunicaciones a través de Internet para aplicaciones como web, correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales (VPN).
El error Heartbleed permite que cualquier persona en Internet lea la memoria de los sistemas protegidos por las versiones vulnerables del software OpenSSL. Esto permite a los atacantes espiar las comunicaciones, robar datos directamente de los servicios y usuarios y hacerse pasar por servicios y usuarios.
Compruebe si su sitio o teléfono Android se ve afectado por el error Heartbleed –
Hay algunos servicios que pueden indicarle si el sitio al que le ha confiado su información era o sigue siendo vulnerable y cuándo se actualizó su certificado.
Prueba Heartbleed de Filippo Valsorda - filippo.io/Heartbleed
Ingrese una URL o un nombre de host para probar su servidor para Heartbleed (CVE-2014-0160). Puedes especificar un puerto como este ejemplo.com:4433
. 443 por defecto.
Comprobador de LastPass Heartbleed - lastpass.com/heartbleed
Vea si un sitio es vulnerable a Heartbleed. Muestra el software del servidor del sitio, indica si era vulnerable y si el certificado SSL ahora es seguro y cuándo se creó por última vez.
Chromebleed (extensión de Google Chrome)
Muestra una advertencia si el sitio que está navegando se ve afectado por el error Heartbleed. Comprueba la URL de la página utilizando el servicio de Filippo. Útil si no desea consultar los sitios manualmente.
Mashable ha compilado una interesante lista de sitios conocidos que indican su estado actual, si se vieron afectados y si debe cambiar su contraseña.
Heartbleed Detector para Android -
Los usuarios de Android pueden comprobar fácilmente si su dispositivo Android es vulnerable al error HeartBleed con una aplicación gratuita llamada "Heartbleed Detector" de Lookout Mobile Security. La aplicación determina qué versión de OpenSSL utiliza su dispositivo. Si su dispositivo está ejecutando una de las versiones afectadas de OpenSSL, luego verifica si el comportamiento vulnerable específico está habilitado o no.
Sin embargo, si su dispositivo es vulnerable, no es necesario que realice ninguna acción, a menos que Google o el fabricante de su dispositivo publiquen un parche.
Etiquetas: AndroidSecurity