Qué es Heartbleed y cómo protegimos tus sitios

Varios medios alertaron en el mundo sobre un masivo bug en la seguridad de OpenSSL, un software de encriptación para servidores que hoy está instalado en al menos dos tercios de todos los sitios existentes en el mundo. El bug fue nombrado «HeartBleed», o Corazón Sangrante, en alusión tanto a agujero (de seguridad) como a corazón, por ser OpenSSL el corazón de la seguridad. La buena noticia es que, si tu sitio está alojado con nosotros, todos nuestros servidores fueron actualizados oportunamente.

¿Pero qué es Heartbleed y qué implicancias tiene? Para responder esto, comencemos por el principio.

¿Qué es SSL?

Empecemos por el principio; SSL (Secure Socket Layer) es una tecnología de encriptación que permite transmitir información por internet. Cuando, por ejemplo, visitas Gmail y ves un candado al lado de la dirección web, eso te indica que las comunicaciones con el sitio están siendo encriptadas. Esto permite que espías malintencionados, atentos a las conexiones de internet, no puedan ver los datos que viajan en una u otra dirección.

Qué es Heartbleed y cómo protegimos tus sitios 1

Usando SSL, toda la información es transformada en un mensaje codificado que sólo vos y la página que te encuentras visitando pueden descifrar. Si algún intermediario «escucha» la conversación, sólo encontraría caracteres aparentemente aleatorios, pero ningún contenido de tus emails, posts de Facebook, tarjetas de crédito o cualquier otra información sensible.

SSL fue originalmente introducido por Netscape en 1994, y estuvo rápidamente disponible en todos los navegadores desde los 90′. En los últimos años hubo una tendencia donde la encriptación fue habilitada por defecto, como son algunos casos de Gmail, Yahoo o Facebook.

Cómo funciona Heartbleed

El motor detrás de la gran mayoría de las conexiones vía SSL en internet se hallan basadas en un software de código abierto llamado OpenSSL. El lunes 7 de Abril anunciaron, a través de este sitio, que fue detectado un importante bug de seguridad. Este agujero en el sistema de codificación permitiría a un tercero interceptar parte de los mensajes enviados vía SSL, y, para peor, el problema existe desde hace cosa de 2 años.

Heartbleed funciona así: el estándar SSL incluye una opción, comúnmente llamada «pulso», que permite a una computadora de uno de los lados del SSL (la tuya o bien el servidor mismo) enviar un mensaje corto, una «señal» para verificar que, del otro lado de la comunicación, la conexión se encuentra online. La computadora que recibe esa señal dice «aquí estoy», enviando el correspondiente mensaje de respuesta. Investigadores informáticos detectaron que, al enviar un mensaje específicamente creado, la respuesta puede contener fragmentos de información de la memoria RAM del servidor.

Para los geeks: pueden encontrar una explicación en inglés más especifica de cómo funciona esto acá.

¿Es realmente tan grave?

Sí. Puede haber una infinidad de información sensible en la memoria de un servidor; por ejemplo, contraseñas de acceso.

¿Quiénes descubrieron el bug?

Aparentemente el bug fue descubierto por investigadores independientes de una empresa de seguridad llamada Codenomicon, y corroborado por Google. Para minimizar el impacto del problema, se trabajó con el equipo de OpenSSL para resolverlo de inmediato, previo a su anuncio público.

¿Cómo protegerse de HeartBleed?

Si tenes tu sitio alojado con nosotros, toda nuestra plataforma fue actualizada, por lo que no hace falta que hagas nada. Si quieres confirmar si tu sitio es vulnerable o no, podes usar esta herramienta online.

En caso de alojar en un servidor con cPanel, estos son los pasos involucrados vía SSH estando logueado como root:

  1. yum update openssl
  2. /scripts/upcp —force
  3. /etc/init.d/cpanel restart
  4. service httpd stop
  5. Desde el WHM process manager, termina cualquier proceso de httpd
  6. service httpd start
  7. Empleá el test en https://filippo.io/Heartbleed/. Si tu sitio sigue vulnerable, usá EasyApache para recompilar Apache y probalo nuevamente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *