La importante falla de seguridad 'Heartbleed' pone en riesgo servicios críticos

Más de la mitad de Internet podría haber sido comprometida por una falla de seguridad de dos años de antigüedad que también podría afectar a varios servicios de Bitcoin en línea, según se reveló hoy.

La vulnerabilidad, denominada 'Sangrado del corazónAfecta a las versiones de OpenSSL, una implementación de código abierto de los protocolos de seguridad de internet SSL y TLS que cifran y protegen el tráfico de internet, incluyendo contraseñas, mensajes, comercio electrónico y banca, y otros datos confidenciales, como las redes privadas virtuales (VPN). OpenSSL es la biblioteca de software más popular para este propósito.

Dos años de edad

Según informes, la falla Heartbleed es conocida por investigadores desde 2011, e incluso por hackers de sombrero negro desde 2012, lo que significa que datos críticos de gran parte de internet han estado disponibles públicamente durante años. No se han confirmado informes de exploits, aunque los ataques no dejan rastro.

Los administradores de seguridad de todo el mundo ahora están aplicando rápidamente una solución y cambiando certificados y claves Secret por si acaso se han visto comprometidos.

Dado que debilita cualquier sitio que utilice el protocolo HTTPS "seguro", la amenaza no se limita específicamente a servicios de Bitcoin como billeteras y plataformas de intercambio. Sin embargo, dada la tendencia de las autoridades a ignorar los robos de Bitcoin o su incapacidad para investigarlos eficazmente, podría dejar a los servicios de Bitcoin más vulnerables que las finanzas en línea tradicionales u otras plataformas críticas.

Pruebe los sitios de sus servicios

experto en seguridad italianoFilippo Valsordaconstruyó unaprueba basada en la webQue permite a cualquiera ingresar el nombre de host de un servidor para ver si está afectado. También publicó el código fuente abierto para la prueba.en GitHub.

Al momento de escribir este artículo, al ingresar las direcciones de los principales servicios de Bitcoin en el sitio de Valsorda se mostraba que Blockchain, Coinbase y BitPay eran seguros, pero que el intercambio más popular del mundo, Bitstamp, permaneció vulnerable.

Valsorda también estaba más preocupado por los servicios de Bitcoin en línea que por cualquier cosa inherente a otras implementaciones, diciendo que era "simple de explotar y no tan QUICK de parchar".

Es fundamental avisar a todos que revisen sus servidores y actualicen lo antes posible [...] Obviamente, no puedo estar seguro, pero el software específico para Bitcoin (billeteras locales, ETC) no debería verse afectado, incluso si usan OpenSSL, ya que el error solo se activa en conexiones TLS activas.

"Sin embargo, casi todo lo público en el ecosistema de Bitcoin está (correctamente) protegido con TLS (pensemos en todas las billeteras web, los exchanges, pero también en las API y los servidores de correo) y potencialmente (probablemente) se ve afectado".

Apresurarse a parchar el software y rotar los certificados

Se estima que más del 50% de los servidores de internet utilizan algún tipo de OpenSSL (y probablemente muchos más). La idea de que más de la mitad de los datos confidenciales de internet podrían haber estado expuestos durante dos años ha dejado a los departamentos de seguridad preocupados.

Al explotar Heartbleed, un atacante podría acceder a la RAM de los sistemas afectados, lo que le permitiría ver hasta 64 kilobytes de datos simultáneamente, suficiente para acumular información suficiente para acceder a las claves Secret de un sistema. Estas claves se utilizan para cifrar y descifrar tráfico confidencial e identificar a los proveedores de servicios.

Una vez obtenidas las claves Secret , los atacantes podrían leer abiertamente cualquier tráfico hacia y desde un servidor o suplantar servicios y usuarios.

Los ataques a un sistema vulnerable no requieren técnicas de intermediario y no dejan rastro, lo que deja a los administradores de sistemas sin una forma segura de saber si sus sistemas han sido comprometidos.

La magnitud del daño potencial dejó a algunos tambaleándose:

Heartbleed es un error RARE : un fallo en una biblioteca de Cripto que filtra datos más allá de lo que protege. Peor que no tener Cripto .





– Matt Blaze (@mattblaze) 8 de abril de 2014

Mike Hearn

, desarrollador y presidente del Comité de Regulación y Leyes de la Fundación Bitcoin , dijo que esperaba que el impacto en los servicios de Bitcoin fuera limitado, pero señaló que los servicios de Bitcoin no siempre empleaban las mejores prácticas de seguridad:

"Espero que el impacto sea limitado. Los sitios principales tendrán que rotar sus claves SSL después de actualizar [...] La mayoría de los sitios deberían tener las claves privadas para sus billeteras en un proceso de servidor diferente donde los datos no se pueden extraer de esta manera. Sin embargo, no me sorprendería si algunos sitios no funcionan de esta manera por alguna razón y podrían sufrir robos".

Las empresas reaccionan

Tras la noticia, muchos intercambios de Bitcoin y altcoin recurrieron a Twitter para emitir respuestas oficiales y actualizar a los usuarios sobre su progreso para abordar la falla.

#BitstampDesactiva sus funciones de registro, inicio de sesión y retiro de moneda virtual como medida de precaución tras las recientes noticias sobre OpenSSL.

— Bitstamp (@Bitstamp)8 de abril de 2014

En una entrevista con CoinDesk, el CEO de Bitstamp, Nejc Kodrič, reveló que, aunque la compañía había parcheado sus servidores con éxito, su proveedor de mitigación de DDoS, Incapsula, debe hacer lo mismo para garantizar la seguridad total.

Por lo tanto, el exchange ha optado por permanecer "en el lado seguro" ydesactivar temporalmenteregistros de cuentas, inicios de sesión de cuentas y todas las funciones de retiro de moneda virtual.

Desde entonces, otros intercambios han emitido declaraciones similares a través de la plataforma, incluido Bitfinex, una incorporación reciente aBPI de CoinDesk.

Error de Heartbleed corregido en Bitfinex. Los retiros están deshabilitados por ahora hasta que nos aseguremos de que todos estén seguros.

— Bitfinex.com (@bitfinex)8 de abril de 2014

Mientras tanto, plataformas como localbitcoins.com yBitcurexHan reportado mayor éxito:

Estamos de nuevo arriba, error de Heartbleed corregido.<a href="http://t.co/OwP9Ft1dE7">T</a>— LocalBitcoins.com (@LocalBitcoins)8 de abril de 2014

Blockchain.info también publicó un comunicadoa través de su sitio web afirmando queServicios mejorados hace una semanaLa compañía también enfatizó que las contraseñas de la billetera nunca se envían a su servidor.

Agregó: “Seguiremos investigando según sea necesario y les brindaremos las actualizaciones necesarias”.

Comunicado de información pública

La noticia de la existencia de Heartbleed fue publicada por la consultora finlandesa de seguridad informática.Codenomicón, quien publicó la descripción tras probar el exploit por sí mismo. Un ingeniero de seguridad de Google, Neel Mehta, lo informó a...Equipo de OpenSSLMientras Adam Langley y Bodo Moeller preparaban una solución.

El nombre proviene de la existencia del error en la extensión 'heartbeat' de OpenSSL y no representa ninguna falla en el protocolo SSL/TLS en sí.

Codenomicon dijo que la explotación era "fácil" y que había atacado con éxito sus propios servicios, obteniendo acceso a claves Secret para Certificados X.509, nombres de usuario y contraseñas y otras comunicaciones "críticas para el negocio".

OpenSSLaviso de seguridaddijo que Heartbleed afectó las versiones 1.0.1 y 1.0.2-beta de la biblioteca de software, incluidas 1.0.1f y 1.0.2-beta1.

"Una verificación de límites faltante en el manejo de la extensión de latido TLS se puede usar para revelar hasta 64k de memoria a un cliente o servidor conectado", decía, y aconsejaba a los usuarios actualizar inmediatamente o eliminar los latidos de su versión de OpenSSL recompilándolo con -DOPENSSL_NO_HEARTBEATS.

Esta historia fue coescrita por Grace Caffyn.

Corazónimagen vía Shutterstock