kak
19/04/2014, 10h56
FUE EL ORIGEN DE 'HEARTBLEED'
El 'error Seggelmann', o cómo el fallo de un programador provocó el caos en internet
9200
Trabajaba como programador y en sus planes de futuro no se encontraba el de ser famoso. Sin embargo, pasará a la historia como el informático alemán cuyo despiste dejó a millones de usuarios de internet y sitios web a merced de los hackers.
Todo comenzó la víspera de Año Nuevo de 2012. Aquel día, Robin Seggelmann se encontraba introduciendo nuevas funciones en OpenSSL, una librería de encriptación usada por una gran cantidad de páginas web. Ya fuera por despiste o debido al cansancio que supone estar tantas horas delante del ordenador, a este informático se le escapó una vulnerabilidad trivial justo en el momento en el que el resto del mundo se encontraba celebrando con champán la llegada del 2012. Un error de parvulario, es cierto, pero que provocó el fallo conocido como Heartbleed de unas consecuencias trágicas.
El tiempo pasó y nadie se dio cuenta de nada. Sin embargo, en esos años infinidad de información estuvo a disposición de los ciberdelincuentes y agencias de espionaje. Hasta hace unos días, que un ingeniero de Google y la empresa de seguridad finlandesa Codenomicon dieron la voz de alarma solicitando que todos los usuarios de internet cambiaran sus contraseñas.
"Cuando una página web muestra un candado o el código de https en la url, significa que estamos llevando a cabo una conexión segura. Esa conexión se establece mediante lo que se llaman diversos desafíos entre el ordenador personal y el servidor. Se intercambian contraseñas y cuando están de acuerdo se comunican con una conexión cifrada. Solo de esta forma, sabemos que nadie entenderá esa comunicación. Esa transferencia de datos utiliza un protocolo de comunicaciones que se llama SSL. Normalmente, todos los navegadores vienen con ese protocolo. En cuanto a los servidores, los hay de pago o el gratuito, que es el OpenSSL. Y son muchos los que funcionan con él", ha explicado Fernando de la Cuadra, director de Educación de Eset España.
"Los expertos en seguridad siempre hemos asegurado que el protocolo SSL es seguro. Ahora se nos ha caído toda nuestra teoría. Esto sería el equivalente a si la industria automovilística dijera que el airbag te va a matar", ha añadido.
Teoría de la conspiración: ¿y si Seggelmann estuviera contratado?
"No hubo intencionalidad en absoluto, sobre todo porque yo mismo me había fijado en otros fallos de OpenSSL. Tan solo estaba tratando de contribuir al proyecto". El que habla es Robin Seggelmann que, tras la debacle en internet decidió hablar con los medios.
9202
"Colaboré con OpenSSL para incorporar una serie de arreglos en algunos fallos y nuevas funciones. En un parche para una nueva función pasé por alto un proceso de revisión", reconoció.
Seggelmann, de 31 años, ha colaborado en el grupo Internet Engineering Task Force (IETF), en la Universidad de Ciencias Aplicadas de Münster, en Alemania, donde ha publicado valiosos trabajos académicos incluyendo su tesis (Strategies to Secure End-to-End Communication), sobre estrategias para hacer más seguras las comunicaciones en internet, también ha trabajado en Deutsche Telekom como arquitecto de soluciones de seguridad, y por supuesto lleva dando charlas desde que estaba haciendo el doctorado.
Con este currículum tan impresionante, muchos se preguntan: ¿cómo se le pudo escapar algo tan básico? Se da la casualidad de que durante todo este tiempo agencias como la NSA han podido estar utilizando Heartbleed para sus fines. "Es una opción -reconoce el propio Seggelmann-,y siempre va a ser mejor asumir el peor escenario posible". Eso sí, se desmarca completamente y niega cualquier relación con estas agencias alegando que se enteró del bug cuando salió a la luz pública hace algunos días.
En su defensa está también el hecho de que el error no solo se le pasó a él, sino también a su supervisor, abriéndose camino de esta forma a través de la rama de desarrollo del lanzamiento de la última versión. Quien tuvo que revisar el proceso fue Stephen Henson. Pero ni esto convence a muchos. ¿Podrían Seggelmann y Henson haber colaborado para que este organismo espiara las comunicaciones de las personas?
Gigantes tecnológicos afectados por el fallo
Como apuntamos, Heartbleed se aprovecha de una vulnerabilidad del OpenSSL. El error ocasiona que el servidor envíe datos fuera de la memoria en vez de enviar la copia exacta. Es decir, el servidor sangra información extra después de recibir los datos.
La explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue 'hackeado'
Gigantes de internet como Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Cisco, Wordpress y Pinterest, se encuentran entre los afectados. Los analistas de Kaspersky afirman que esta vulnerabilidad permite que cualquier usuario pueda acceder a datos críticos como nombres de usuario, contraseñas o incluso, la clave privada que utiliza el servidor para mantener cifrada su conexión.
Por otra parte, la explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue hackeado y qué tipo de datos se han podido robar.
Pese a que OpenSSL ha corregido el problema, no se puede garantizar que las páginas webs afectadas hayan instalado el parche que soluciona el problema. Además, este error es bastante fácil de explotar y ha existido durante más de dos años por lo que muchas webs de interés han podido ser víctimas de robos de datos confidenciales.
Por ahora, no hay ninguna evidencia de que se hayan aprovechado de este agujero de seguridad del sistema. Y no descarten que no la haya nunca...
9201
El 'error Seggelmann', o cómo el fallo de un programador provocó el caos en internet
9200
Trabajaba como programador y en sus planes de futuro no se encontraba el de ser famoso. Sin embargo, pasará a la historia como el informático alemán cuyo despiste dejó a millones de usuarios de internet y sitios web a merced de los hackers.
Todo comenzó la víspera de Año Nuevo de 2012. Aquel día, Robin Seggelmann se encontraba introduciendo nuevas funciones en OpenSSL, una librería de encriptación usada por una gran cantidad de páginas web. Ya fuera por despiste o debido al cansancio que supone estar tantas horas delante del ordenador, a este informático se le escapó una vulnerabilidad trivial justo en el momento en el que el resto del mundo se encontraba celebrando con champán la llegada del 2012. Un error de parvulario, es cierto, pero que provocó el fallo conocido como Heartbleed de unas consecuencias trágicas.
El tiempo pasó y nadie se dio cuenta de nada. Sin embargo, en esos años infinidad de información estuvo a disposición de los ciberdelincuentes y agencias de espionaje. Hasta hace unos días, que un ingeniero de Google y la empresa de seguridad finlandesa Codenomicon dieron la voz de alarma solicitando que todos los usuarios de internet cambiaran sus contraseñas.
"Cuando una página web muestra un candado o el código de https en la url, significa que estamos llevando a cabo una conexión segura. Esa conexión se establece mediante lo que se llaman diversos desafíos entre el ordenador personal y el servidor. Se intercambian contraseñas y cuando están de acuerdo se comunican con una conexión cifrada. Solo de esta forma, sabemos que nadie entenderá esa comunicación. Esa transferencia de datos utiliza un protocolo de comunicaciones que se llama SSL. Normalmente, todos los navegadores vienen con ese protocolo. En cuanto a los servidores, los hay de pago o el gratuito, que es el OpenSSL. Y son muchos los que funcionan con él", ha explicado Fernando de la Cuadra, director de Educación de Eset España.
"Los expertos en seguridad siempre hemos asegurado que el protocolo SSL es seguro. Ahora se nos ha caído toda nuestra teoría. Esto sería el equivalente a si la industria automovilística dijera que el airbag te va a matar", ha añadido.
Teoría de la conspiración: ¿y si Seggelmann estuviera contratado?
"No hubo intencionalidad en absoluto, sobre todo porque yo mismo me había fijado en otros fallos de OpenSSL. Tan solo estaba tratando de contribuir al proyecto". El que habla es Robin Seggelmann que, tras la debacle en internet decidió hablar con los medios.
9202
"Colaboré con OpenSSL para incorporar una serie de arreglos en algunos fallos y nuevas funciones. En un parche para una nueva función pasé por alto un proceso de revisión", reconoció.
Seggelmann, de 31 años, ha colaborado en el grupo Internet Engineering Task Force (IETF), en la Universidad de Ciencias Aplicadas de Münster, en Alemania, donde ha publicado valiosos trabajos académicos incluyendo su tesis (Strategies to Secure End-to-End Communication), sobre estrategias para hacer más seguras las comunicaciones en internet, también ha trabajado en Deutsche Telekom como arquitecto de soluciones de seguridad, y por supuesto lleva dando charlas desde que estaba haciendo el doctorado.
Con este currículum tan impresionante, muchos se preguntan: ¿cómo se le pudo escapar algo tan básico? Se da la casualidad de que durante todo este tiempo agencias como la NSA han podido estar utilizando Heartbleed para sus fines. "Es una opción -reconoce el propio Seggelmann-,y siempre va a ser mejor asumir el peor escenario posible". Eso sí, se desmarca completamente y niega cualquier relación con estas agencias alegando que se enteró del bug cuando salió a la luz pública hace algunos días.
En su defensa está también el hecho de que el error no solo se le pasó a él, sino también a su supervisor, abriéndose camino de esta forma a través de la rama de desarrollo del lanzamiento de la última versión. Quien tuvo que revisar el proceso fue Stephen Henson. Pero ni esto convence a muchos. ¿Podrían Seggelmann y Henson haber colaborado para que este organismo espiara las comunicaciones de las personas?
Gigantes tecnológicos afectados por el fallo
Como apuntamos, Heartbleed se aprovecha de una vulnerabilidad del OpenSSL. El error ocasiona que el servidor envíe datos fuera de la memoria en vez de enviar la copia exacta. Es decir, el servidor sangra información extra después de recibir los datos.
La explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue 'hackeado'
Gigantes de internet como Google, Facebook, Youtube, Twitter, Blogspot, Amazon, Cisco, Wordpress y Pinterest, se encuentran entre los afectados. Los analistas de Kaspersky afirman que esta vulnerabilidad permite que cualquier usuario pueda acceder a datos críticos como nombres de usuario, contraseñas o incluso, la clave privada que utiliza el servidor para mantener cifrada su conexión.
Por otra parte, la explotación de Heartbleed no deja huellas por lo que no existe forma exacta de saber si el servidor fue hackeado y qué tipo de datos se han podido robar.
Pese a que OpenSSL ha corregido el problema, no se puede garantizar que las páginas webs afectadas hayan instalado el parche que soluciona el problema. Además, este error es bastante fácil de explotar y ha existido durante más de dos años por lo que muchas webs de interés han podido ser víctimas de robos de datos confidenciales.
Por ahora, no hay ninguna evidencia de que se hayan aprovechado de este agujero de seguridad del sistema. Y no descarten que no la haya nunca...
9201