Varios medios comentaron acerca del masivo bug de seguridad en OpenSSL, un software de encriptación para servidores detrás 2/3 de todos los sitios existentes. Si tu sitio esta alojado con nosotros, todos nuestros servidores fueron actualizados oportunamente. ¿Pero qué es Heartbleed y que implicancias tiene?
¿Que es SSL?
Empecemos por el principio; SSL (Secure Socket Layer) es una tecnología de encriptación que permite transmitir información por internet. Cuando por ejemplo visitas Gmail y ves un candado al lado de la dirección web, eso te indica que las comunicaciones con el sitio estan siendo encriptadas.
Ésto implica que no debería haber terceras personas capaces de leer ninguna información que envies o que recibas. Usando SSL, toda la información es transformada en un mensaje codificado que solo vos y la página que estas visitando pueden descifrar. Si algún intermediario escucha la conversación, solo encontraría caracteres aparentemente aleatorios pero ningún contenido de tus emails, posts de Facebook, tarjetas de crédito o cualquier otra información sensible.
SSL fue originalmente introducido por Netscape en 1994 y estuvo rápidamente disponible en todos los navegadores desde los 90′. En los últimos años hubo una tendencia donde la encriptación fue habilitada por defecto, como son algunos casos de Gmail, Yahoo o Facebook.
Como funciona Heartbleed
El motor detrás de la gran mayoría de las conexiones via SSL en internet estan basadas en un software de código abierto llamado OpenSSL. El lunes 7 de Abril, anuncian a través de éste sitio, que detectaron un importante bug de seguridad que permite a un tercero interceptar parte de los mensajes enviados via SSL, y que el problema existe desde hace mas o menos 2 años.
Heartbleed funciona así: el estándar SSL incluye una opción comunmente llamada "pulso" que permite a una computadora de uno de los lados del SSL, enviar un mensaje corto para verificar que del otro lado de la comunicación, la conexión esta online, recibiendo un mensaje en respuesta. Investigadores detectaron que al enviar un mensaje especificamente creado, la respuesta puede contenter información de la memoria RAM del servidor.
¿Es realmente tan grave?
Si. Puede haber una infinidad de información sensible en la memoria de un servidor y con ésto obtener contraseñas de acceso.
¿Quiénes descubrieron el bug?
Aparentemente el bug fue descubierto independientemente por investigadores de una empresa de seguridad llamada Codenomicon y por Google. Para minimizar el impacto del problema, se trabajó con el equipo de OpenSSL para resolver el problema para luego ser anunciado públicamente.
Como protegerse
Si tenes tu sitio alojado con nosotros, toda nuestra plataforma fue actualizada por lo que no hace falta que hagas nada más.