Sobre Heartbleed

heartbleedEl nombre de «Heartbleed» ha sonado mucho últimamente haciendo referencia a un catastrófico suceso en internet, hay muchas personas que no se han adentrado en el tema pero que sin embargo les causa preocupación y preguntan si es un virus, si se ve afectada su privacidad, etc. para entender un poco el tema podemos retomar algunas definiciones básicas.
Heartbleed es un bug, nombre con el que se refiere a un fallo o agujero de seguridad de un sistema informático, en el código de Open SSL, que es un paquete con herramientas de administración que hace que las comunicaciones que vayan a un servidor estén cifradas. Un ejemplo de el uso de un protocolo de éstos es cuando visitas una página y en la barra de direcciones de tu navegador la página empieza con «https://» ahi refiere a que está usando el protocolo cifrado.
Con este bug se puede tener una memoria en texto de algunas operaciones que se realizaron en el servidor, en éstos se puede ver entre el código palabras que hayan sido escritas mientras se estaba utilizando OpenSSL en este caso como en el ejemplo: el navagador, lo que quiere decir que cuando un usuario se loguea en una página con OpenSSL queda guardado en esta memoria el registro del nombre de usuario y contraseña.
En los servidores afectados se han tomado varias medidas como cambiar las contraseñas de sus cuentas, o incluso como recomendaba la gente del Proyecto Tor: «Alejarse completamente de internet en los próximos días mientras se arreglan las cosas», aunque la gente de OpenSSL ya trabajó en una nueva versión del software en el que esta reparado el bug, ahora lo que se tendría que hacer es actualizar OpenSSL, las versiones afectadas son la 1.0.1 hasta 1.0.1f, la versión en la cual se supone se arregló el bug es la 1.0.1g liberandose el 7 de abril del 2014.
Se dice que desde hace más de 3 años ya existía el bug pero no fué detectado hasta apenas, también otro de los rumores es que la NSA (National Agency Security) ya sabía de este bug desde hace 6 meses, total rumores hay muchos lo que si es bueno considerar algunas medidas como cambiar tu contraseña y asegurarte de que el servidor haya cambiado a la nueva versión de OpenSSL. Hay artículos que aseguran que uno de los sitios afectados fue el de la Agencia de Impuestos Canadiense (Canada Revenue Agency) y algunos que presentaban vulnerabilidaes eran Yahoo! y DuckDuckGo, que precisamente este último era recomendado como un sitio de búsquedas alterno a Google más seguro ya que utiliza el protocolo cifrado https y que no almacena los metadatos de las búsquedas.
Esta es una muestra más de que no existe seguridad ni privacidad informática absoluta, pero si hay herramientas que te ayudan a tener más privacidad, es como un candado y cerrojo en la puerta de tu casa, las usas porque es mejor a tener la puerta abierta o con un solo cerrojo pero nadie te garantiza que alguien no pueda abrir ese cerrojo y romper ese candado. Si buscas seguridad y privacidad informática absoluta, mejor aléjate de la informática.

Israel Pirra
Abril 2013
http://pirra.punksmedia.org