heartbleed - ¡Cambia tus contraseñas ahora!

Más
11 años 10 meses antes #1 por Passenger
heartbleed - ¡Cambia tus contraseñas ahora! Publicado por Passenger
Hoy la red estuvo bastante ocupada con muchos sitios haciendo actualizaciones a sus sistemas gracias a una vulnerabilidad de nombre "Heartbleed". En pocas palabras, esta vulnerabilidad permite a hackers poder accesar a la memoria del servidor y obtener información vital para romper los esquemas de seguridad OpenSSL. Esto quiere decir que pueden obtener las llaves privadas y con ello recuperar las contraseñas de usuarios que se hayan registrado en el sitio recientemente.

Se recomienda que actualices las contraseñas en todos los sitios web que visites, especialmente si acostumbras usar una misma clave en varios sitios. Tus nuevas contraseñas deben contener al menos 9 caracteres únicos incluyendo mayúsculas y minúsculas, números y símbolos.

Mas información aqui: heartbleed.com/

Pregunta de rescate:

¿Tienes una lista de todos los sitios web en los que te has registrado, verdad?

Por favor, Conectar o Crear cuenta para unirse a la conversación.

  • forseti99
  • Desconectado
  • Moderador
  • Moderador
  • Cría cuervos, y tendrás muchos.
Más
11 años 10 meses antes - 11 años 10 meses antes #2 por forseti99
Respuesta de forseti99 sobre el tema heartbleed - ¡Cambia tus contraseñas ahora!
El bug ha estado ahí por unos 2 años, solo hasta ahora se ha encontrado, eso quiere decir que probablemente un 70% de los servidores en el mundo han sido vulnerables por 2 años.

Entre la lista de los vulnerables (la mayoría ya ha corregido el problema) estaban:
-Google
-Yahoo (este parece seguir siendo vulnerable)
-Amazon
-Facebook
-Twitter
-Steam
y un largo etcétera.

¿Qué podemos hacer?
Si somos usuarios no iniciar sesión en los sitios vulnerables hasta que dichos lugares confirmen que ya son seguros. Una vez seguros hay que cambiar la contraseña en ellos.

En linux también será necesario revisar que tengas la última versión de OpenSSL. En OSX no es necesario, la versión que ocupa el sistema es vieja (0.9.8). Windows no tiene instalado OpenSSL por defecto, pero habrá que actualizar cosas si tienes programas como cygwin.

Acá una lista de los OS con Linux que han fueron lanzados con el bug (está en el link de Passenger, pero no está de más ponerla acá):
  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Sobre los certificados en los navegadores no estoy muy seguro. ¿Tal vez alguien podría confirmar si es necesario actualizarlos? Digo, si fueron comprometidos ahora cualquier página falsa que haya robado los certificados aparecerá con palomita verde.

Si tienen servidores hay que actualizar OpenSSL, revocar certificados y reiniciar los servicios para cargar la librería parcheada (Heartbeat). El bug está en las versiones 1.0.1 de OpenSSL, la 1.0.1g ya corrigió ese problema.

[hr]

P.D. ¿qué onda con el emoticono? Si cada que meta un 8 y ) juntos, o cosas similares, me mostrará una carita, mal vamos.


**EDIT**
La cifra inicial de 66% de servidores afectados era falsa, netcraft ya lanzó una estadística más cercana. Es el 17.5%

news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
[img
Última Edición: 11 años 10 meses antes por forseti99.

Por favor, Conectar o Crear cuenta para unirse a la conversación.

Más
11 años 10 meses antes - 11 años 10 meses antes #3 por ankoku
Respuesta de ankoku sobre el tema heartbleed - ¡Cambia tus contraseñas ahora!
No he consultadp con mis fuentes de segurida' comptaciona' pero en el inter
¿que pasa con sitios y servicios que tienen 2 factor auth? como por ejemplo google y steam tienen eso, que, aun sabiendo tu password, el atacante tambien debera tener acceso a tu cel o correo para pasar las confirmaciones adicionales.

Digo, cambiar los pwd's no es malo, simplemente que segun yo, no es tan malo el impacto si tienes este tipo de verificaciones de seguridad activadas.
En el caso de Google, la tienes que activar y necesitas un smartphone ANDROID o con IOS, en el de steam, pues ya viene activado por default y lo notas cuando intentas entrar a tu cuenta de steam desde una maquina nueva o en algun navegador desconocido.

Update:
AL parecer no pega tanto con un 2 factor auth habilitado:
security.stackexchange.com/questions/23874/is-it-safe-to-use-a-weak-password-as-long-as-i-have-two-factor-authentication?rq=1
Última Edición: 11 años 10 meses antes por ankoku.

Por favor, Conectar o Crear cuenta para unirse a la conversación.

Más
11 años 10 meses antes #4 por Kimo
Respuesta de Kimo sobre el tema heartbleed - ¡Cambia tus contraseñas ahora!
Aca hay mas info sobre cuando cambiar las contraseñas:
Lifehacker ;)

Por favor, Conectar o Crear cuenta para unirse a la conversación.

Más
11 años 10 meses antes #5 por pakitos
Respuesta de pakitos sobre el tema heartbleed - ¡Cambia tus contraseñas ahora!
Y acá los que hay que cambiar

mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Por favor, Conectar o Crear cuenta para unirse a la conversación.

Tiempo de carga de la página: 0.388 segundos
Powered by Foro Kunena