Heartbleed, SSL te desangra.

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Heartbleed, SSL te desangra.

Notapor Newhack » Dom Abr 20, 2014 6:24 pm

El software libre está muy bien, es genial, aunque como todo producto complejo
desarrollado por el hombre no está 100% libre de algún susto. Nada que ver
con algunos softwares privativos por eso, por suerte.
Pero hace poco han encontrado uno de estos defectos que asustan a los usuarios,
Nada menos que un punto flojo en el manejo de la capa de transporte (tls/dtls)
del openSSL, con lo que cualquiera en conocimiento del bug puede acceder a datos
de la menoria protegida del ordenador, area que puede contener por ejemplo
claves del ssl, certificados, nombres de usuarios y sus contraseñas, - en claro -,
información confidencial de otros programas, y demás información de seguridad.
Con el exploit adecuado se puede acceder a hasta 64 kb. de ese area. Pero cuidado,
64 kb. no es el total birlado, cada vez que lo lances son 64 kb., sin limite
conocido de veces.

El problema como veis es grave, y se calcula, dado su uso en la red, que pueden
estar afectados hasta dos tercios de los servidores en linea. :shock:
(dos tercios de la www y redes privadas!. Ahi es na!).

El defecto por supuesto ya está corregido, y se ha dado la alerta y los remedios,
pero dado el tiempo que llevaba entre nosotros, (2 años y algún mes), y con la
cantidad de s.o. instalados en ese tiempo, hay para largo, muuy largo hasta que
todo el mundo haya instalado el parche o una versión correcta.
Y se da el caso de que si lo he pillado bien, tan peligroso es que lo tengas tu
como que lo tenga el ordenador al que te conectas, en ambos casos estás en peligro.

El bug, registrado como CVE-2014-0160 (aunque debido a una duplicación de reportes
en algún sitio puede ser referido como CVE-2014-0346) responde al nombre familiar
de "Heartbleed" (algo asi como una fuga o un desangramiento cardiaco).
¿Porque ese nombre tan gore ?. El fallo se ubica en la extensión "heartbeat"
(latido cardiaco), (RFC 6520), y al parecer, la implementación de esta extensión
ha permitido, desde una cierta fecha y versión, aprovechar este fallo.

El fallo NO ES, pero, del protocolo SSL, que sigue igual que antes de eso, si no
de la implementación o uso que se hizo del mismo a partir de una cierta actualización.

¿Como hemos llegado a eso ?.
El problema comenzó con la actualización de diciembre de 2011 del openSSL, (2 años
y 3 meses por lo menos), y fue lanzado con la versión 1.0.1 permaneciendo hasta
la 1.0.1f.
Los releases anteriores (0.9.8 y 1.0.0) no están afectados por tanto, y la versión
1.0.1g al estar corregida tampoco es vulnerable.

¿Puedo estar afectado ?.

Si lo has instalado/actualizado en los últimos 2 años y poco lo mas probable es que si.
En tal caso lo primero es substituir el openSSL por la 1.0.1g, o en caso de que
no os fuera posible, hay que recompilarlo como se explica en los enlaces dejando
fuera el heartbeat.

Lo segundo, ante la posibilidad de haber sido asaltado, - que no se sabe si han
podido hacerlo o si ha habido suerte y han sido los primeros en descubrirlo,
ya que el uso de este bug no deja ninguna traza ni anomalia después de su uso -
lo que debeis hacer es revocar todas las claves y certificados y cambiarlos,
asi como los passwords y otra información sensible del ordenador.

También tendreis que estar al tanto de con quién/donde os conectais, que como
he dicho va a pasar tiempo hasta que "los mas vagos" desinstalen las versiones
afectadas.
O sea que será aconsejable ir pasando la información entre los conocidos y por
los circulos en que te muevas.

Por su parte, chrome ya ha sacado un plugin que te advierte si te has conectado
a un sitio que aún no ha hecho el cambio. Imagino que firefox, si no lo tiene ya
no tardará en sacarlo.
http://bgr.com/2014/04/10/heartbleed-de ... in-chrome/

Y a todo esto, ¿a quienes hay que vigilar ya que usan esto ?.
Pues a nivel particular los primeros afectados son los usuarios de openSSL, y
en especial de los s.o. de software libre.
Ubuntu, debian, opensuse, fedora, centos, freebsd, netbsd ...
Aunque también a los grandes sitios de la red, incluidas empresas de servicios web,
que muchos usan alguna de las versiones, dependiendo de cual sea su ritmo de
actualización del software.

http://noticias.terra.com/tecnologia/ob ... aRCRD.html


Y ahora que ya he conseguido vuestra atención y picaros la curiosidad, lo suyo
es retirarme y dejaros con los enlaces.

Que os sea leve. :badgrin: :embudito:


http://arstechnica.com/security/2014/04 ... sdropping/
http://arstechnica.com/security/2014/03 ... sdropping/
http://arstechnica.com/security/2014/04 ... ore-patch/

http://bgr.com/2014/04/15/heartbleed-ch ... ange-list/

http://heartbleed.com/
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Re: Heartbleed, SSL te desangra.

Notapor Sor_Zitroën » Lun Abr 21, 2014 9:33 pm

Os dejo algunos enlaces interesantes más sobre el tema:

Security By Default
Entrevista a Lorenzo Martínez
¿Tenemos la versión de OpenSSL parcheada?

Chema Alonso también escribió un artículo muy bueno sobre el tema.

Venga, un saludo
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: Heartbleed, SSL te desangra.

Notapor Newhack » Jue Abr 24, 2014 6:37 pm

Si, vale que el open source no es tan propenso a tener fallos peligrosos, pero este ha sido de los que asustan.

Ni tan solo yo, que no tengo conexión propia, puedo estar 100% tranquilo por si alguno de los sitios que uso
aún está sin parchear. :roll:

Aqui supongo que estaremos a cubierto, ¿verdad ?. :embudito:

Saludos.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Re: Heartbleed, SSL te desangra.

Notapor NewLog » Dom Jun 15, 2014 1:54 am

Sé que llego tarde de cojones... Pero bueno, al menos que quede para el registro :)
En su día escribí una entrada en el blog de mi curro. Es un análisis técnico (código fuente, vaya), a diferencia de la mayoría de posts sobre el tema.

http://blog.isecauditors.com/2014/05/he ... ficos.html

Es duro de leer, pero entretenido :)
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: Heartbleed, SSL te desangra.

Notapor Sor_Zitroën » Dom Jun 15, 2014 2:48 pm

MUY buen curro. No conocía el fork LibReSSL, ni la gestión dinámica de memoria de OpenSSL, ni que se copiaba la clave privada varias veces en memoria. El texto aunque es técnico vale mucho la pena leerlo, y además... a la gente de aquí se supone que le gusta lo técnico, ¿no? :)

Si redactas otro texto sobre cómo afecta la vulnerabilidad a los clientes y todo lo relacionado con EAP-TLS (ataque Cupido), ten por seguro que lo leeré.

Lo dicho, gracias por el enlace porque el texto es una pasada.
Saludos
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: Heartbleed, SSL te desangra.

Notapor Newhack » Dom Jun 15, 2014 7:01 pm

Yo no soy muy bueno en esto del código máquina (por decirlo de manera suave :badgrin: :oops: ), pero me
lo descargo y lo leere con calma, que siempre es buena una explicación desde la base.

Gracias por el enlace.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm


Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados

cron