Blog de Duplika

Que es Heartbleed y como protegimos tus sitios

heartbleedVarios medios comentaron acerca del masivo bug de seguridad en OpenSSL, un software de encriptación para servidores detrás 2/3 de todos los sitios existentes. Si tu sitio esta alojado con nosotros, todos nuestros servidores fueron actualizados oportunamente. ¿Pero qué es Heartbleed y que implicancias tiene?

¿Que es SSL?

Empecemos por el principio; SSL (Secure Socket Layer) es una tecnología de encriptación que permite transmitir información por internet. Cuando por ejemplo visitas Gmail y ves un candado al lado de la dirección web, eso te indica que las comunicaciones con el sitio estan siendo encriptadas.

ssl-clientes-duplika

Ésto implica que no debería haber terceras personas capaces de leer ninguna información que envies o que recibas. Usando SSL, toda la información es transformada en un mensaje codificado que solo vos y la página que estas visitando pueden descifrar. Si algún intermediario escucha la conversación, solo encontraría caracteres aparentemente aleatorios pero ningún contenido de tus emails, posts de Facebook, tarjetas de crédito o cualquier otra información sensible.

SSL fue originalmente introducido por Netscape en 1994 y estuvo rápidamente disponible en todos los navegadores desde los 90'. En los últimos años hubo una tendencia donde la encriptación es fue habilitada por defecto, como son algunos casos de Gmail, Yahoo o Facebook.

Como funciona Heartbleed

El motor detrás de la gran mayoría de las conexiones via SSL en internet estan basadas en un software de código abierto llamado OpenSSL. El lunes 7 de Abril, anuncian a través de éste sitio, que detectaron un importante bug de seguridad que permite a un tercero interceptar parte de los mensajes enviados via SSL, y que el problema existe desde hace mas o menos 2 años.

Heartbleed funciona así: el estándar SSL incluye una opción comunmente llamada "pulso" que permite a una computadora de uno de los lados del SSL, enviar un mensaje corto para verificar que del otro lado de la comunicación, la conexión esta online, recibiendo un mensaje en respuesta. Investigadores detectaron que al enviar un mensaje especificamente creado, la respuesta puede contenter información de la memoria RAM del servidor.

Para los geeks, pueden ver una explicación en inglés mas especifica de como funciona acá.

¿Es realmente tan grave?

Si. Puede haber una infinidad de información sensible en la memoria de un servidor y con ésto obtener contraseñas de acceso.

¿Quiénes descubrieron el bug?

Aparentemente el bug fue descubierto independientemente por investigadores de una empresa de seguridad llamada Codenomicon y por Google. Para minimizar el impacto del problema, se trabajó con el equipo de OpenSSL para resolver el problema para luego ser anunciado públicamente.

Como protegerse

Si tenes tu sitio alojado con nosotros, toda nuestra plataforma fue actualizada por lo que no hace falta que hagas nada más. Si quisieras confirmar si tu sitio es vulnerable o no, podes usar ésta herramienta online.

Si tenes un servidor con cPanel, éstos son los pasos involucrados via SSH estando loguedo como root:

  1. yum update openssl
  2. /scripts/upcp —force
  3. /etc/init.d/cpanel restart
  4. service httpd stop
  5. Desde el WHM process manager, termina cualquier proceso de httpd
  6. service httpd start
  7. Usa el test en https://filippo.io/Heartbleed/. Si tu sitio sigue vulnerable, usa EasyApache para recompilar Apache y probalo nuevamente.