Eressea Solutions > Respondiendo a la pregunta crítica: ¿Es posible obtener las llaves privadas SSL utilizando Heartbleed?

Respondiendo a la pregunta crítica: ¿Es posible obtener las llaves privadas SSL utilizando Heartbleed?

Publicado el: 12 de abril, 2014

[UPDATE] El reto ya fue superado por dos personas independientemente. La primera fue enviada a las 4:22:01PST por Fedor Indutny (@indutny). Él envió al menos 2.5 millones de requests. El segunda fue enviada a las 5:12:19PST por Ilkka Mattila de NCSC-FI utilizando 100 mil requests.

heartbleed-icon-story-topCloudFlare, una empresa de Internet que realizó un estudio con respecto a una vulnerabilidad de un paquete que provee la seguridad de las conexiones SSL llamada Heartbleed, presentó las probabilidades de acceder a las llaves privadas SSL. Éstas son las conclusiones del estudio:

  • Es difícil y probablemente, imposible de que se hayan robado las claves privadas de la mayoría de los NGINX servers. Incluso con Apache, que puede ser un poco más vulnerable, la probabilidad de que las claves privadas SSL sean reveladas con la vulnerabilidad Heartbleed, es muy baja. Ésa es la única buena noticia de la reciente semana.
  • Vulnerabilidades como ésta son un reto porque la gente tiene información incompleta sobre los riesgos que se presentan. Es importante que la comunidad trabaje en conjunto para identificar los riesgos reales y trabajar hacia una Internet más segura.

CloudFlare lanzó el Desafío Heartbleed para poner a prueba los resultados del estudio. Aristóteles luchó con el problema de refutar la existencia de algo que no existe. No se puede probar lo negativo, por lo que a través de los resultados experimentales, la empresa afirma que nunca va a estar absolutamente segura sobre si hubo alguna condición que no se haya probado. Sin embargo, mientras más ojos estén sobre el problema, más seguros estarán sobre ello. A pesar del número de otras formas de vulnerabilidad de Heartbleed que eran extremadamente malas, es posible que se haya tenido suerte y se hayan salvado de lo peor de las potenciales consecuencias.

Es así que CloudFlare asume lo peor. Con respecto a las claves privadas en poder de CloudFlare, se ha parchado la vulnerabilidad antes que el público tuviera conocimiento de ésta, por lo que es poco probable que los atacantes fueran capaces de obtener las claves privadas. Sin embargo, para estar seguros, se está ejecutando un plan para volver a emitir y revocar certificados potencialmente afectadas, incluyendo el certificado de cloudflare.com.

Prueba el desafío Heartbleed»

Lee el artículo completo de CloudFlare»

Fuente: Cloudflare.com

Relacionado

6 de febrero, 2017

Google superó a Apple como la marca más valiosa tras cinco años

El índice Global 500 de Brand Finance estableció el valor de la marca de Google en USD 109.500 millones, un 24% por encima en 2016 (desde USD 88.200 millones), mientras que Apple descendió de 145.900 millones a 107.000 millones de dólares. Apple perdió el podio tras cinco años como líder este índice, puesto que Google […]

17 de febrero, 2016

Apple se niega a ayudar al FBI a desbloquear el iPhone de un terrorista

En diciembre, 14 personas fueron asesinadas a tiros, y 22 más resultaron heridas, al sur de California, uno de los perpetradores tenía un iPhone 5c, que el FBI no puede desbloquear debido a las medidas de seguridad de iOS 9.

Custom Solutions for your business

Experience, Quality and Security

Contact us