Últimamente Internet no gana para sustos. Y es que en los últimos tiempos se han descubierto diversas vulnerabilidades con gran impacto en todos los usuarios. Por ejemplo “Goto fail” de Apple, un fallo enorme en su implementación de SSL que abría la puerta a los atacantes a interceptar comunicaciones seguras, el fallo de GnuTSL, o más recientemente el de la nube para Java de Oracle.
Sin embargo todo esto palidece ante el gran impacto del fallo de seguridad descubierto hace dos días en la implementación actual de la biblioteca Open Source de seguridad OpenSSL. Su relevancia se deriva de lo grande que es el bug, y de lo extendida que está en Internet esta biblioteca de código abierto. Se estima que 2 de cada 3 servidores conectados a Internet hacen uso de OpenSSL y están afectados.
Si estás utilizando un servidor web Apache o Nginx, casi seguro que estás afectado.
Internet Information Server (IIS) no está afectado.
Hasta el momento se sabe que ha afectado a Yahoo, Dropbox, Stackoverflow, Amazon Web Services, Flickr, Zoho o Heroku y muchas empresas más. Aquí tienes una lista con las 1000 webs más importantes comprobando si están afectadas o no. Mashable ha publicado unas interesantes tablas resumen con el estado de los servicios más importantes. Si tienes cuenta en alguna de ellas, cambia tu contraseña cuanto antes.
El bug lo ha descubierto Neel Mehta, un investigador de Google. El fallo permite a un atacante extraer aleatoriamente fragmentos de 64KB de la memoria de cualquier servidor afectado. Aunque pueda parecer poca cosa, el problema reside en que las claves de encriptación privadas del servidor están siempre en memoria y su aspecto es fácil de reconocer, por lo que a base de repetir una y otra vez el ataque es relativamente fácil encontrarlas. Además se puede leer otra mucha información guardada en claro en la memoria del servidor, por lo que el tipo de información que se puede extraer es potencialmente ilimitado.
El siguiente vídeo explica técnicamente el problema descubierto y el funcionamiento de un ataque:
Al parecer Apple, Microsoft y Google no están afectados, ni tampoco la mayor parte de los grandes bancos (que usan sus propios sistemas también).
Si te preocupa saber si un determinado servicio está afectado, el programador Filippo Valsorda ha creado un sitio web que te permite comprobar cualquier servidor escribiendo su dirección.
Ninguno de los servicios de Krasis o campusMVP está afectado tampoco, así que si eres un alumno de campusMVP o un cliente de nuestra plataforma de e-learning, no tienes de qué preocuparte.
Todavía es pronto para saber el impacto real del bug en la totalidad de Internet ya que muchos administradores tardarán en parchear los servidores y pueden pasar semanas o meses antes de que esté solucionado.
En esta dirección puedes encontrar información detallada sobre el bug, su impacto, contramedidas y todo tipo de preguntas frecuentes actualizadas para estar informados.
Esta pregunta en Quora tiene explicaciones interesantes y fáciles de comprender sobre el motivo del bug y por qué es tan fácil explotarlo (moraleja: ¡verifica siempre todo lo que llegue de los usuarios!)