Heartbleed - Bug en OpenSSL

#1
En los últimos días se conoció que hay un bug de seguridad grave en OpenSSL. SSL es un protocolo de encripción que muchos servidores utilizan para hacer el login y autenticación de usuario, enviar y recibir información datos encriptados. OpenSSL es una versión libre que se utiliza ampliamente para implementar SSL.

Lo que esto significa es que una fracción importante de todos los servidores con los que interactuamos (cualquiera cosa que use OpenSSL) han sido comprometidos en cuanto a passwords y contenidos privados.
Lista de servidores comprometidos (a esta altura quizás ya han parcheado sus sistemas):
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
(Fuente: http://gigaom.com/2014/04/08/heres-...-know-about-the-heartbleed-web-security-flaw/)
Están en la lista: yahoo, imgur, flickr, redtube :p (nooooo, no redtube!!!!)

¿Qué hacer frente a eso?, ir pensando en cambiar todos los passwords, cosa que debería hacerse todos los años pero que - yo incluído por supuesto - nadie suele hacer.

Una pequeña aplicación para verificar si un servidor sigue con el bug:
http://filippo.io/Heartbleed/

Termino con xkcd:
http://xkcd.com/1353/

 
#3
Y en Español.



Es grave el bug, tanto así que empresas como Google, Microsoft, IBM, Intel, entre otras, han puesto manos a la obra para crear un fondo de apoyo para los desarrolladores del protocolo openSSL ya que éstos trabajan por cuenta propia sin recibir remuneración alguna. Ésto es, para incentivar y lograr un código de acceso seguro para el futuro.

Saludos al foro!
 
#4
un error demasiado ridículo para un sistema de seguridad, esta peor que el tipo que "hackeo" un banco por que la contraseña era 123456 :LOL:
 
Arriba