XSIforum.com

Heartbleed bug (OpenSSL)

0 Usuarios y 1 Visitante están viendo este tema.

Heartbleed bug (OpenSSL)
« en: 10 Abril 2014, 02:39:41 »
Han descubierto un problema bastante gordo en la librería OpenSSL (el estándar en criptografía) y muchísimos sitios han sido afectados, la putada es que no quedan rastros al abusar de la vulnerabilidad y no se sabe que tanto se ha comprometido.

Ya existe el parche y poco a poco se está aplicando en los servicios afectados, podéis informaros más sobre el bug en heartbleed.com y hacer un pequeño test sobre el estado de vuestras webs favoritas en filippo.io/Heartbleed. Si vuestros servicios están parchados os recomiendo cambiar la contraseña ;)

Re:Heartbleed bug (OpenSSL)
« Respuesta #1 en: 10 Abril 2014, 10:30:16 »
Lo vi esta mañana en Meneame y en la portada de El Pais: "Millones de contraseñas de internet al descubierto".
Es como las noticias de astronomía, descubren un planeta con la masa de la tierra y lo anuncian como "encontrado mundo habitable".

Aún así, es muy gordo encontrar fallos en librerías que usa todo el mundo, pero bugs de seguridad los hay en todas partes, ya sea en programas opensource o privados (anda, 5 actualizaciones de windows update?).

Con sentido común y como bien dices, cambiando contraseñas, debería bastar.
Yo desde hace un tiempo uso este programa para almacenar y generar mis contraseñas lo mas complejas posible: http://keepass.info/ aunque vivimos en un mundo en el que las contraseñas empiezan a ser lo de menos  :2funny:.

Si tenéis tiempo y ganas, miraos este vídeo donde explican como la NSA utiliza "fallos" *ejem* para romper información encriptada.


Saludos!

Re:Heartbleed bug (OpenSSL)
« Respuesta #2 en: 10 Abril 2014, 10:59:20 »
El bug se encontró a finales del año pasado, pero por razones de seguridad obvias no se ha hecho público hasta ahora, que ya existe solución.
Gracias por los links que estáis poniendo, son muy útiles

Re:Heartbleed bug (OpenSSL)
« Respuesta #3 en: 10 Abril 2014, 21:10:04 »
El vídeo de numberphile sobre NSA es interesante pero teórico, si tenéis ganas de saber más hay una conferencia muy interesante donde ellos mismos describen algunos de los procedimientos legales para intervenir protocolos relacionados con la seguridad en internet (incluyendo proyectos como Skype, protocolos de seguridad browser/server y proyectos opensource como OpenSSL).
NSA operation ORCHESTRA - Annual Status Report

A ver cuanto dura el link :)
« Última modificación: 10 Abril 2014, 21:17:26 por Cesar Saez »

Re:Heartbleed bug (OpenSSL)
« Respuesta #4 en: 12 Abril 2014, 00:24:07 »
La mejor explicación gráfica que he visto hasta el momento :)


http://xkcd.com/1354/

Re:Heartbleed bug (OpenSSL)
« Respuesta #5 en: 12 Abril 2014, 12:56:48 »
xkcd for the win.

Re:Heartbleed bug (OpenSSL)
« Respuesta #6 en: 12 Abril 2014, 21:06:54 »
Muy bueno!