El poder de Heartbleed, una noticia que sin dudas, ha revolucionado el mundo.

En éste artículo vamos a tratar el tema en profundidad desde que es y como remediarlo hasta como darnos cuenta en vivo de si un sitio está afectado por ésta vulnerabilidad.

Hace unos días se ha publicado una vulnerabilidad en las librerías de cifrado OpenSSL llamada Heartbleed. Ésta fue descubierta por un integrante Neel Mehta del equipo de Google Security y se le asignó el CVE-2014-0160. La empresa Condemicon Defensic ha creado la página web oficial de Heartbleed para poder conocer a fondo sobre ésta vulnerabilidad.

 

¿Cuál es impacto de éste bug?

Primero, hay que conocer de donde se origina Heartbleed. Ésta nace de una función llamada Heartbeat en los protocolos TLS/SSL que permite refrescar una conexión entre el cliente y el servidor sin una renegociación de por medio. De ésta función, Heartbleed toma su nombre ya que es un sangrado en el corazón, visto a groso modo.

El impacto toma como objetivo rotundo al usuario, ya que permite robar información protegida que viaja a través de los cifrados TLS/SSL. Este bug permite que se pueda leer la memoria de los sistemas protegidos por la versión vulnerable de SSL. Heartbleed compromete las claves que se envían en el cifrado de usuarios, sus contraseñas, sus usernames y  todo el contenido transmitido.

¿Que debo hacer para poder prevenirme?

Vamos a plantearlo desde dos perspectivas, la del usuario y la de un administrador de sistemas.

Por parte del usuario solo una recomendación, debemos realizar un cambio de contraseñas urgente en los sitios que hayan sido afectados por ésta vulnerabilidad. Para eso podemos consultar en la siguiente tabla.

Cambiando de perspectiva y centrándonos en un administrador de sistemas lo que se debe hacer de forma urgente es actualizar a alguna versión que no sea vulnerable a éste bug. Para ello les dejo una lista con las versiones estables para poder actualizar con sus respectivos enlaces de descarga.

• Las versiones VULNERABLES son desde la 1.0.1 hasta la 1.0.1f  y la versión 1.0.2-beta1
• Las versiones OpenSSL 0.9.8, OpenSSL 1.0.0 y OpenSSL 1.0.1g  NO SON VULNERABLES.

Es recomendable aplicar en todas aquellas plataformas que tengan instaladas esta versión de OpenSSL ya que los servicios afectados son muchos, pasando desde conexiones VPN’s hasta servicios de mensajería instánea y correos electrónicos.

 

Ya he cambiado mis contraseñas pero quiero verificar yo mismo si un sitio es vulnerable a Heartbleed, ¿Cómo hago?

Tenemos muchísimas formas y las explicaremos a cada una por separado para que puedas comprobarlo sin ningún problema.

Vía web

La excelente herramienta creada por el italiano Filippo Varsolda permite controlar si un sitio es vulnerable o no. Para ello debemos dirigirnos a https://filippo.io/Heartbleed/ y colocar la URL que queremos testear, de la siguiente manera.

En éste caso, nos dirá que el servidor está a salvo de la vulnerabilidad.

 

Vía scripting.

He utilizado varias herramientas creadas en lenguaje Python y en mi opinión SSLTEST.py es muy eficiente, y sin dudas es muy fácil de usar. El autor de ésta herramienta es Jared Stafford

Primero pasamos a copiar el código en un intérprete (o bloc de notas si no poseemos algún IDLE en especial) y le damos la extensión .py.

Lo guardamos (en mi caso en Desktop) y lo ejecutamos desde un command line llamando al script y dándole el nombre del servidor al cual queremos testear. Se puede agregar la opción -p para dar un puerto en concreto, sino por defecto utilizará el 443.

 

Vía extensiones

 

Para Google Chrome existe una muy buena extensión llamada Chromebleed que nos da un aviso en tiempo real si estamos navegando por un sitio web vulnerable a Heartbleed.

 

Vía NMAP

Para quienes no conocen la herramienta de NMAP, se las explico brevemente. NMAP es una excelente herramienta para auditar y explorar redes que no debe faltar en ninguna PC de un usuario en seguridad. La herramienta detecta SO (fingerprinting), servicios, puertos abiertos y versiones de aplicaciones (y muchas funciones más) que corren en un ordenador. En sí, es el scanner de puertos más poderoso que existe actualmente. NMAP también permite mejorar su potencial añadiendo el uso de scripts, por ejemplo para poder explotar vulnerabilidades en servidores o para poder realizar pruebas en servidores DNS. En sí, una excelente y completa herramienta.

Por eso, también se ha desarrollado un script para NMAP que permite detectar servidores que sufren de la vulnerabilidad Heartbleed, y se puede obtener desde el siguiente enlace.

Una opción es realizar lo mismo que antes; copiar el script en un bloc de notas y guardándolo como heartbleed con la extensión .nse en la carpeta Scripts de NMAP. Dependiendo el SO que se use, debemos guardarlo en diferentes directorios.

Una vez realizado lo anterior hacemos una actualización de la base de datos de SCRIPTS. Para ello ejecutamos mediante command line la sentencia «nmap –script-updatedb» y lanzamos el nuevo script con la sentencia «nmap –script=heartbleed.nse facebook.com» y a esperar resultados.

 

Si bien hay varias formas, lo más recomendable para los usuarios es usar la extensión, ya que la detección es en vivo y por si surge desconfianza utilizar la web de Filippo.

 

Por @gaaabifranco de la redacción.