Heartbleed - Bug en OpenSSL expone millones de cuentas

*Quien guste editar/complementar esta noticia es bienvenido!*

Un bug en OpenSSL, ha comprometido millones de cuentas y servidores.

Hasta el día del anuncio público, el 7 de Abril 2014, "cerca del 17% o medio millón de servidores de seguridad web de internet certificados por autoridades confiables se creían vulnerables a ser atacados".

El Bug fue descubierto desde finales de Marzo 2014.

Lo interesante es que el bug aprovecha un error en la memoria, lo que permite obtener las llaves de encriptación. Con dichas llaves, el atacante puede entrar a los servidores SIN DEJAR NINGÚN RASTRO.

El Bug afecta la versiones de OpenSSL 1.0.1, que salió hace 2 años en Marzo del 2012. Curiosamente, las antiguas versiones no son vulnerables.

Como rumor, se dice que la NSA ya conocía el bug y lo ha estado explotando desde hace 2 años. :ohmy:

Entre los sitios más afectados están: GitHub, Yahoo!, Imgur, Stack Overflow, Slate, y DuckDuckGo.

De Google, Hotmail y Facebook al parecer fueron vulnerables pero no afectados por el Bug. (Nota: Lo dirán en serio, o puro juego de palabras?)

Casos curiosos como el buscador anónimo ixquick, también eran vulnerables, pero gracias a otras medidas de seguridad (ej. "Perfect Forward Security (PFS)") implementadas no fueron afectados.
Link con explicación por Ixquick:
support.ixquick.com/index.php?/Knowledgebase/Article/View/903/0/rest-easy-ixquick-is-secure-from-heartbleed-ssl-threat

Casos como Amazon, Sony Networks, y otros, que sí fueron vulnerables, pero no entiendo si les afectó o no.

El 10 de Abril 2014,Cisco Juniper Networks, anunciaron que muy probablemente sus equipos fueron afectados por el bug como Routers, Firewalls y Switches. Dejando en riesgo de ser robada, la información personal de los usuarios.

[De Wikipedia, Inglés] Websites and web services:

La siguiente lista de sitios tienen servicios que fueron afectados, o que hicieron el anuncio de recomendar que los usuarios actualicen sus passwords en respuesta al bug:

Akamai Technologies[58], Amazon Web Services[59], Ars Technica[60], Bitbucket[61], BrandVerity[62], Freenode[63], GitHub[64], IFTTT[65], Mojang [66], Mumsnet, PeerJ[67], Prezi[68], Something Awful[69], SoundCloud[70], SourceForge[71], SparkFun[72], Stripe (company)[73], Tumblr[74][75], Wattpad, Wikimedia (including Wikipedia)[76][77], Wunderlist

Poco a poco los sitios han ido parchando sus servidores. Será hora de cambiar nuestros passwords?



Lista actual de sitios vulnerables:
OJO: Que ahorita ya estén parchados, no quiere decir que no les afectó. Ejemplo: Wikipedia ya está parchado pero sí estaba afectado.

github.com/musalbas/heartbleed-masstest
Chequen los títulos:
- "630 of the top 10000 sites appeared vulnerable on April 8, 16:00"
- "Changes on April 12, 21:00 UTC"
- "Test results of top 1000 websites on April 8, 16:00 UTC:"


[strike]Video (No recomendado) muy muy superficial sobre Heartbleed:
____youtube.com/watch?feature=player_embedded&v=oZqXt0iddDQ[/strike]

Testers para saber si un sitio fue afectado:
1. heartbleed.criticalwatch.com/
2. lastpass.com/heartbleed/


Fuentes:
(Wiki, Español) es.wikipedia.org/wiki/Heartbleed
(Wiki, Inglés) en.wikipedia.org/wiki/Heartbleed

Heartbleed - Explicación corta y concisa: heartbleed.com/

I just leave this here:
imgs.xkcd.com/comics/heartbleed_explanation.png

ankoku wrote: I just leave this here:
imgs.xkcd.com/comics/heartbleed_explanation.png

La mejor explicación que he visto.

^400% Agree
+1 Karma (te daría más karma si se pudiera Ankoku)

Yo cambie el SO de mi NAS por esto, le puse Debian, pero ahora no tengo plex... Pfffff. Resulta que hace dos días sacaron el parche los de qnap, creo que me regreso al firmware original. LOL ya ni los dos días compilando programas para procesador ARM.


Enviado desde mi iPad con Tapatalk

Que pues Cuncun , ya sabes que los chicos de QNAP no fallan!

Ya estoy otra vez con el firmware original, Antuans.


Enviado desde mi iPad con Tapatalk