Respondiendo a la pregunta crítica: ¿Es posible obtener las llaves privadas SSL utilizando Heartbleed?


Publicado el: 12 de abril, 2014

[UPDATE] El reto ya fue superado por dos personas independientemente. La primera fue enviada a las 4:22:01PST por Fedor Indutny (@indutny). Él envió al menos 2.5 millones de requests. El segunda fue enviada a las 5:12:19PST por Ilkka Mattila de NCSC-FI utilizando 100 mil requests.

heartbleed-icon-story-topCloudFlare, una empresa de Internet que realizó un estudio con respecto a una vulnerabilidad de un paquete que provee la seguridad de las conexiones SSL llamada Heartbleed, presentó las probabilidades de acceder a las llaves privadas SSL. Éstas son las conclusiones del estudio:

  • Es difícil y probablemente, imposible de que se hayan robado las claves privadas de la mayoría de los NGINX servers. Incluso con Apache, que puede ser un poco más vulnerable, la probabilidad de que las claves privadas SSL sean reveladas con la vulnerabilidad Heartbleed, es muy baja. Ésa es la única buena noticia de la reciente semana.
  • Vulnerabilidades como ésta son un reto porque la gente tiene información incompleta sobre los riesgos que se presentan. Es importante que la comunidad trabaje en conjunto para identificar los riesgos reales y trabajar hacia una Internet más segura.

CloudFlare lanzó el Desafío Heartbleed para poner a prueba los resultados del estudio. Aristóteles luchó con el problema de refutar la existencia de algo que no existe. No se puede probar lo negativo, por lo que a través de los resultados experimentales, la empresa afirma que nunca va a estar absolutamente segura sobre si hubo alguna condición que no se haya probado. Sin embargo, mientras más ojos estén sobre el problema, más seguros estarán sobre ello. A pesar del número de otras formas de vulnerabilidad de Heartbleed que eran extremadamente malas, es posible que se haya tenido suerte y se hayan salvado de lo peor de las potenciales consecuencias.

Es así que CloudFlare asume lo peor. Con respecto a las claves privadas en poder de CloudFlare, se ha parchado la vulnerabilidad antes que el público tuviera conocimiento de ésta, por lo que es poco probable que los atacantes fueran capaces de obtener las claves privadas. Sin embargo, para estar seguros, se está ejecutando un plan para volver a emitir y revocar certificados potencialmente afectadas, incluyendo el certificado de cloudflare.com.

Prueba el desafío Heartbleed»

Lee el artículo completo de CloudFlare»

Fuente: Cloudflare.com

Custom Solutions for your business

Experience, Quality and Security

Contact us