#Heartbleed: ¿Me debe importar un C*rajo?


Anuncio: ¿Nos afectó #HeartBleed?

A través de este artículo pretendo entre otras cosas avisarles (pues aquí en México es una obligación legal hacerlo) que el ya muy conocido bug #Heartbleed no afectó ninguno de nuestros servidores o máquinas por el estilo en ninguna forma. De todos modos los servidores y equipos que usamos ya fueron actualizados con la nueva versión de OpenSSL que incluye el hotfix indicado para reparar dicha vulnerabilidad (ya desde hace tiempo disponible gracias a la eficacia de la comunidad de empaquetadores y developers detrás de Fedora Linux, el S.O. que corremos en nuestros equipos/servidores) y pues en el futuro si llegásemos a ocupar alguna implementación de SSL directa en nuestros sitios (con la que ustedes interactúen pues) nadie se verá afectado por dicho agujero de seguridad.

Lamentablemente, otros servicios y páginas que nada tienen que ver con nosotros directamente (pero que sí se usan en nuestra web por ejemplo) sí se han visto afectados por dicho bug. Los servicios third party que ocupamos en la web/blog y "nube" de Xenode Systems (por llamar de alguna manera al ecosistema digital con el que ustedes y nosotros interactuamos a la par) y que sí fueron afectados por el Bug Heartbleed son los siguientes:

  • Facebook
  • SpiderOak
  • GitHub
  • UbuntuOne

Otros servicios que se usan en la página (para login con OmniAuth por ejemplo) que POSIBLEMENTE fueron vulnerados son Twitter (Quienes no lo han reportado) y las cuentas de Google (Quienes no han dicho bien a bien si sí o si no pero es probable que sí se hayan visto afectadas).

¿Qué es HeartBleed?

Nada mejor que muñecos de xkcd para explicarlo:

Click en la imagen para agrandar

Para los que no entiendan ni aún así, en términos muy básicos, un usuario tiene una manera de mandar una especie de "ping/poke" (término mal usado pero se entiende) a un servidor para dar a conocer que está ahí y el servidor en este caso puede saber que la conexión debe seguir abierta, pues el usuario sigue ahí usando la misma. El bug éste lo que permite es que un usuario mande una carga de datos diferente a la que dice que va a mandar y entonces el servidor "vomita" un montón de data aleatoria que dicho usuario NO DEBERÍA VER, esta data generalmente es data que tú confiarías está encriptada gracias a SSL. Esto es peligroso porque aún en el "caos" de la data entregada, cualquier usuario con medio cerebro (o casi) puede detectar cosas como nombres de usuario, contraseñas e incluso peor, la clave SSH que un admin esté usando para entrar al servido (por ejemplo), lo que le daría control total del mismo.

¿Porqué NO afectó los servidores de Xenode Systems?

Nuestra web no ocupa SSL de forma directa puesto que no manejamos nada de información sensible realmente por nuestra cuenta. La información sensible que llegamos a manejar se delega a través de servicios de terceros que sí manejan data encriptada (pues es importante protegerla) como podría ser tu data de acceso cada que te logueas vía algún servicio como Facebook, Twitter o Google para comentar en nuestro blog por ejemplo. En esos casos el servicio en turno pasa tu token de acceso generado de manera segura a nuestro servidor y se hace la comunicación pertinente para que puedas loguearte sin que nuestra web tenga que manejar la parte de la encriptación por sí misma pero tampoco permitiendo que la data se pase "en claro" durante la transacción.

¿Te debe importar Heartbleed?

Sí y no... Por un lado, si usas algún servicio web, el que sea, tienes probabilidad de haber sido afectado (ya que demasiados servicios se han visto afectados); En mis pruebas sólo 2 sitios de los 10 que probé de primera instancia estaban 100% libres del bug (esto quiere decir que NO fueron afectados y lo tuvieron que reparar después como otros al simplemente no presentar la falla desde un principio) siendo dichos servicios Paypal y Evernote. La cosa es, que esta vulnerabilidad tiene cerca de un año existiendo (aunque algunos dicen que son AÑOS) en la implementación actual de OpenSSL, lo que quiere decir que muy probablemente alguien ya había estado explotándola desde hace mucho sin que nadie se diera cuenta. La diferencia ahora es que se ha vuelto mainstream y todos saben de ella, lo que debería ser preocupación suficiente para que cambies tus contraseñas de los servicios afectados antes de que alguien quiera jugar una última broma antes de perder su backdoor recién encontrada.

¿Qué significa #Heartbleed para el Internet actual como plataforma?

Pues nada que no supiéramos: Si lo subes a Internet tarde que temprano alguien lo va a ver jajajaja. La realidad es, que aún cuando la web se basa en cuestiones como el software libre para funcionar, siempre habrá alguna vulnerabilidad o cuestión oculta que "los malos" van a aprovechar y nadie se va a dar cuenta hasta dentro de un rato. Así sean unas horas, unos meses o años, el poco tiempo que una vulnerabilidad sea explotada ya supone una brecha de seguridad para todos los usuarios conectados en el mundo. Muchas veces las personas que usan Linux en por ejemplo, sus escritorios, tienden a jactarse de la seguridad del sistema operativo por su ámbito "de código libre" que los hace sentir seguros mientras OTROS vigilan los paquetes y sus agujeros de seguridad. Si eres un usuario final que por ejemplo no usa Linux (y/o software libre) en todos sus equipos y sólo te viste afectado como daño colateral, entonces no hay mucho para pedirte, pero para todos nosotros, los que sí usamos código libre creo que no está por demás decir que se trata de comunidad no de comodidad, como ya lo hemos explicado antes.

¿Están tus datos más seguros contigo?

Depende. Este tipo de fallas no quieren decir que NO DEBAS confiar en las nubes públicas, sino que debes decidir qué tanta información sensible (que a ti te importe) se puede estar filtrando a través de servicios como éstos cada que se explota una vulnerabilidad de este tipo. La cosa es, que si tienes data importante, (muy pero muy secreta), ésta no debería quedarse en la nube de nadie, ni siquiera en la tuya por comodidad, e incluso no debería siquiera pasar por dispositivos conectados a Internet de alguna forma. Si por otro lado ocupas conveniencia en la locación de tu data pero un nivel de seguridad estable, entonces yo no te recomendaría montarte tu propia nube, puesto que estás mejor en manos de servicios de terceros que tienen a personas trabajando 24/7 para asegurar la seguridad no solo tuya, sino de millones de usuarios alrededor del mundo. Montarte tu propia nube puede ser tentador tras enterarte de estas cosas, pero si realmente vas a guardar en ella data sensible que algún día alguien va a querer (y que sin embargo requiere la conveniencia de la nube), entonces no deberías delegarte el peso de mantenerla segura por ti mismo bajo ningún motivo.

¿Cómo saber qué sitios han sido afectados por #Heartbleed?

Si quieres saber qué contraseñas debes cambiar tras este suceso, la herramienta web diseñada por los chicos de LastPass es la manera más sencilla de detectar qué sitios han sido vulnerados y así, cambiar tus contraseñas en dichos sitios ASAP:


P.D. Y a todo esto, ¿porqué el título tan tajante para el post? Para empezar, "marketing": Hay tantos artículos del tema circulando ahorita en la web que de alguna manera debíamos resaltar entre todos. Por otro lado, se me hace un poco "alarmista y estúpido" el prestarle tanta "atención y miedo" a esta vulnerabilidad sabiendo que ha existido desde hace mucho, es impactante, sí, pero no es algo que podamos cambiar... Es como si te hubieran violado y te enteras meses después, el daño ya está hecho y el saberlo sólo te dejará marcado de por vida a partir de que te lo dicen... Quizá el cambio de contraseñas nos "mantendrá seguros" a partir de ahora ya que los servicios web actualicen las implementaciones de OpenSSL en sus servidores, sin embargo, todo lo que hemos compartido de manera encriptada y "segura" durante todo este tiempo se quedará con esa etiqueta de "posiblemente alguien me ha visto, pero nunca lo sabrás" a partir de hoy...