Eressea Solutions > Heartbleed, cronología de la divulgación: ¿quién sabía qué y cuándo?

Heartbleed, cronología de la divulgación: ¿quién sabía qué y cuándo?

Publicado el: 16 de abril, 2014

heartbleed

Fuente: Smh.com.au

Desde que el fallo «Heartbleed» en el protocolo de encriptación OpenSSL se hizo público el 7 de abril en los EE.UU. se han realizado varias preguntas acerca de quién sabía qué y cuándo.

Fairfax Media ha hablado con varias personas y grupos involucrados y ha compilado la siguiente cronología de acuerdo a la zona horaria de EEUU:

  • Viernes, 21 de marzo o antes: Neel Mehta, de Google Security descubre la vulnerabilidad Heartbleed.
  • Viernes, 21 de marzo 10.23: Bodo Moeller y Adam Langley de Google crean un parche para la falla (Esto de acuerdo al timestamp en el archivo de parche que Google creó y más tarde envió a OpenSSL, que OpenSSL reenvió a Red Hat y otros). El parche luego se aplicó progresivamente a los servicios de Google / servidores en todo el mundo.
  • Lunes, 31 de marzo o antes: Alguien le dice a la red de distribución de contenido de CloudFlare sobre Heartbleed y ellos hacen un parche. Más tarde CloudFlare presume en su blog sobre la forma en que fueron capaces de proteger a sus clientes antes de que muchos otros. El director ejecutivo de CloudFlare, Matthew Prince no le diría a Fairfax cómo su empresa se enteró de la falla temprana. «Creo que la información más precisa de los acontecimientos en relación con el proceso de divulgación, en la medida en que los conozco, fue escrito por Danny en Wall Street Journal,» dice. El artículo dice que CloudFlare fue notificado del fallo de la semana pasada y antes hizo la corrección recomendada «después de firmar un acuerdo de no divulgación».
  • Martes, 01 de abril: Google Security notifica OpenSSL sobre el defecto que ha encontrado en OpenSSL, que más tarde se conoce como «Heartbleed» Marcos Cox en OpenSSL dice lo siguiente en la red social Google Plus: «El plan original era sacarlo esa semana, pero esto se pospuso hasta el 9 de abril para dar tiempo a los procesos adecuados.» Google dice que OpenSSL, según Cox, habían «notificado a algunos proveedores de infraestructura bajo embargo». Pero Cox dijo que el OpenSSL no tiene los nombres de los proveedores ni las fechas indicadas.
  • Miércoles, 02 de abril ~ 23:30 – La empresa de pruebas de seguridad de TI de Finlandia Codenomicon, por separado, descubre el mismo bug que Neel Mehta, de Google, encontró en OpenSSL. Una fuente dentro de la empresa da a Fairfax el momento en que el bug fue encontrado, fue como a las 9:30 EEST 3 de abril, que se convierte a 23:30 PDT, del 2 de abril.
  • Jueves, 03 de abril 04.30 – Codenomicon notifica al National Cyber Security Centre de Finlandia sobre el descubrimiento del bug de OpenSSL. Codenomicon dice a Fairfax en un comunicado que no están dispuestos a decir si darán a conocer del bug a los demás.

«Tenemos estrictos acuerdos de no divulgar, los cuales no nos permiten hablar sobre los compromisos con cualquier cliente. Por lo tanto, nosotros no queremos intervenir en el debate de divulgación», dice un portavoz de la compañía. Una fuente dentro de la empresa más adelante dice a Fairfax: «Nuestros clientes no fueron notificados de esto. Ellos se enteraron por primera vez luego de que OpenSSL publicara la información.»

  • Viernes, 04 de abril – El contenido de la red de distribución de Akamai parchó sus servidores. En un principio dijeron que OpenSSL les avisó del bug, pero el equipo central OpenSSL lo negó en una entrevista por correo electrónico con Fairfax. Akamai actualizó su blog después de la negación – impulsado por Fairfax – y el blog de ​​Akamai ahora dice que un individuo en la comunidad OpenSSL les dijo de esto.

El director de seguridad de Akamai, Andy Ellis, dijo a Fairfax: «Hemos modificado el blog para especificar que fue un miembro de la comunidad, pero no vamos a revelar nuestra fuente.» Es bien sabido que una serie de miembros de la comunidad de OpenSSL que trabajan para empresas en tecnología puedan estar conectados con Akamai.

  • Viernes, 04 de abril – Los rumores comienzan a arremolinarse en la comunidad de open source sobre la existencia de un bug existente en OpenSSL, de acuerdo a lo que dijo una persona de seguridad en una distribución de Linux a Fairfax. No hubieron detalles evidentes por lo que fue ignorado por la mayoría.
  • Sábado, 05 de abril 15:13 – Codenomicon compra el nombre de dominio Heartbleed.com, donde más tarde se publica información acerca de la falla de seguridad.
  • Sábado, 05 de abril 16:51 – OpenSSL (no pública en este punto) publica éste (desde luego fuera de línea) a su repositorio Git.
  • Domingo, 06 de abril ~ 22:56 – Mark Cox de OpenSSL (que también trabaja para Red Hat y estaba de vacaciones) notifica a la distribución Linux de Red Hat sobre el bug de Heartbleed y les autoriza a compartir detalles de la vulnerabilidad, en favor de OpenSSL para otras distribuciones de sistemas operativos de Linux.
  • Domingo, 06 de abril 22.56 – Huzaifa Sidhpurwala (que trabaja para Red Hat) agrega un bug (para entonces privado) para Bugzilla de Red Hat .
  • Domingo, 06 de abril 23.10 – Huzaifa Sidhpurwala envía un correo electrónico sobre el error a una lista de correo privada de distribución de Linux sin dar detalles sobre Heartbleed pero una oferta para pedirles privacidad bajo embargo. Sidhpurwala dice en el correo electrónico que el asunto se hizo público el 9 de abril.

Cox de OpenSSL. dice en Google Plus: «No se dan detalles sobre el tema: sólo versiones afectadas de OpenSSL. Se les avisa a los vendedores tomar contacto con Red Hat para el completo de asesoramiento bajo embargo «.

  • Domingo, 06 de abril ~ 23:10 – Un número de personas de la lista de correo privada pide a Sidhpurwala, que vive en la India, más detalles sobre el bug. Sidhpurwala da detalles de la cuestión, de asesoramiento, y el parche a los proveedores de sistemas operativos que respondieron bajo embargo. Los que recibieron una respuesta incluida SuSE (Lunes, 07 de abril a las 01:15), Debian (01:16), FreeBSD (1:49) y AltLinux (03:00).

«Algunos otros (sistemas operativos Linux) respondieron pero Red Hat no dio detalles al momento antes de que el problema sea público», dijo Cox. Sidhpurwala estaba durmiendo cuando los demás proveedores de sistemas operativos solicitaron detalles. Aquellos que intentaron hacer y se quedaron sin una respuesta incluida fueron Ubuntu (se le preguntó a las 04:30), Gentoo (07:14) y cromo (09:15), dice Cox.

  • Antes de lunes, 7 de abril o temprano el 7 de abril – Facebook consigue un mano a mano, dijeron personas familiarizadas con el problema anunció Wall Street Journal.

Facebook dice después de la divulgación: «Hemos añadido protecciones para la implementación de Facebook de OpenSSL antes de que el problema se diera a conocer públicamente, y continuamos vigilando de cerca la situación».

  • Lunes, 07 de abril 08.19 – El National Cyber ​​Security Centre de Finlandia informa del OpenSSL del bug de «Heartbleed» de Codenomicon a los miembros del equipo central OpenSSL: Ben Laurie (quien trabaja para Google) y Mark Cox (Red Hat) a través de correo electrónico cifrado.
  • Lunes, 07 de abril 09.11 – El correo electrónico cifrado se envía a los miembros del equipo central de OpenSSL, quienes deciden, según Cox, que «la coincidencia de los dos hallazgos del mismo asunto, al mismo tiempo, aumentaba el riesgo, mientras que el problema se mantiene sin parches. Por lo tanto, OpenSSL lanzó paquetes actualizados después de ese día»…
  • Lunes, 07 de abril 10:21 una nueva versión OpenSSL es cargada al servidor web de Open SSL con el nombre de archivo «openssl-1.0.1g.tgz».
  • Lunes, 07 de abril 10:27 – OpenSSL publica un aviso de seguridad Heartbleed en su página web.
  • Lunes, 07 de abril 10:49 – OpenSSL emite un aviso de Heartbleed a través de su lista de correo. Le toma tiempo desplazarse.
  • Lunes, 07 de abril 11:00 – CloudFlare publica una entrada de blog sobre el bug.
  • Lunes, 07 de abril 12:23 – CloudFlare publica tweets acerca de su blog.
  • Lunes, 07 de abril 12:37 – Neel Mehta de Google sale de Twitter evitando tweetear acerca de la falla de OpenSSL.
  • Lunes, 07 de abril 13:13 – Los tweets de Codenomicon  encontraron el bug y pusieron enlace al sitio de Heartbleed.com.
  • Lunes, 07 de abril ~ 13:13 – La mayor parte del mundo se entera del problema través de heartbleed.com.

¿Quién sabía de heartbleed antes de su liberación?

Google (21 de marzo o antes), CloudFlare (31 de marzo o antes), OpenSSL (1 de abril), Codenomicon (2 de abril), National Cyber Security Centre Finland (3 de abril), Akamai (4 de abril o antes) y Facebook (sin fecha determinada).

¿Quién sabía horas antes de su lanzamiento público?

SuSE Debian, FreeBSD y AltLinux.

¿Quién no sabía hasta el lanzamiento público?

Muchos, incluyendo Amazon Web ServicesTwitter, Yahoo, Ubuntu, Cisco, Juniper, Pinterest, TumblrGoDaddy, Flickr, Minecraft, Netflix, Soundcloud, Commonwealth Bank of Australia (sitio web principal, sin red al sitio web de la banca), el sitio web de CERT Australia, Instagram, Caja, Dropbox , GitHub , IFTTT, OkCupid, Wikipedia, WordPress y Wunderlist.

Fuente: Smh.com.au 

Relacionado

6 de febrero, 2017

Google superó a Apple como la marca más valiosa tras cinco años

El índice Global 500 de Brand Finance estableció el valor de la marca de Google en USD 109.500 millones, un 24% por encima en 2016 (desde USD 88.200 millones), mientras que Apple descendió de 145.900 millones a 107.000 millones de dólares. Apple perdió el podio tras cinco años como líder este índice, puesto que Google […]

17 de febrero, 2016

Apple se niega a ayudar al FBI a desbloquear el iPhone de un terrorista

En diciembre, 14 personas fueron asesinadas a tiros, y 22 más resultaron heridas, al sur de California, uno de los perpetradores tenía un iPhone 5c, que el FBI no puede desbloquear debido a las medidas de seguridad de iOS 9.

Custom Solutions for your business

Experience, Quality and Security

Contact us