SlideShare a Scribd company logo

Heartbleed

Download as PPTX, PDF
A
Anderson Faneite

Heartbleed (español: hemorragia de corazón) es un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.1 Investigaciones de auditorías muestran que, al parecer, algunos atacantes han explotado este error desde hace al menos cinco meses antes de que fuera descubierto y publicado.

Technology
1 of 7
Heartbleed
Heartbleed Heartbleed (español: hemorragia de corazón) es un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.1 Investigaciones de auditorías muestran que, al parecer, algunos atacantes han explotado este error desde hace al menos cinco meses antes de que fuera descubierto y publicado.
Historia • Aparición: La extensión Heartbeat para los protocolos Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) se propuso como un estándar en febrero del 2012 por el RFC 6520. Esto provee una forma de probar y mantener viva un enlace de comunicación segura sin la necesidad de renegociar la conexión cada vez. • En 2011, uno de los autores del RFC, Robin Seggelmann, en ese tiempo un estudiante de doctorado en la Universidad de Duisburg-Essen, implementó la extensión Heartbeat para OpenSSL. Siguiendo la petición de poner su trabajo en OpenSSL, su cambio fue revisado por Stephen N. Henson, uno de los cuatro desarrolladores del núcleo de OpenSSL. Henson aparentemente no notó el bug en la implementación de Seggelmann,6 e introdujo el código con falla en el repositorio de OpenSSL el 31 de diciembre de 2011. El código vulnerable fue adoptado y usado ampliamente con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. El soporte de Heartbeat estaba habilitado por defecto, causando que las versiones afectadas fueran vulnerables por defecto.
Historia • Descubrimiento: De acuerdo con Mark J. Cox de Open SSL, Neel Mehta (Del equipo de seguridad de Google) reportó un Heartbleed en el 1 de abril de2014. El bug implicó un severo error en el manejo de memoria en la implementación de la "Transport Layer Security Heartbeat Extensión". Este defecto pudo ser usado para revelar más de 64 kilobytes de la memoria de la aplicación con cada heartbeat. • El bug fue nombrado por un ingeniero en la firma Codenomicon, una empresa finlandesa de ciber seguridad, quien aparte creó el logo y lanzó el dominio Heartbleed.com para explicar el bug al público en general. De acuerdo con la propia empresa, Neel Mehta primero reportó el bug a OpenSSL, pero ambos, Google y Codenomicon, lo descubrieron independientemente. Codenomicon reporta al 3 de abril como su fecha de descubrimento del bug y su fecha de notificación de NCSC-FI (formalmente conocido como CERT-FI) por vulnerabilidad de coordinación. Mehta además felicitó a Codenomicon, sin ir a detalles. • The Sydney Morning Herald publicó una línea del tiempo del descubrimiento el 15 de abril, la cual mostró que algunas de las organizaciones podrían ser capaces de reparar el bug antes de su publicación. En algunos casos, no está tan claro cómo lo encontraron.
Historia • Resolución: Bodo Moeller y Adam Langley de Google prepararon la corrección para Heartbleed. El parche resultante, que se añadió al seguimiento de incidencias de Red Hat, con fecha 21 de marzo de 2014. La fecha cronológica siguiente disponible en la evidencia pública es la afirmación de CloudFlare de que ellos solucionaron el defecto en sus sistemas en 31 de marzo 2014. Stephen N. Henson aplica la corrección al sistema de control de versiones de OpenSSL, el 7 de abril. La primera versión corregida, 1.0.1g, fue lanzada el mismo día. • Despliegue: Al 8 de mayo de 2014, 318,239 servidores web públicos eran todavía vulnerables. • Renovación y revocación de certificados: Según Netcraft, alrededor de 30.000 de los más de 500.000 certificados X.509 que podrían haber sido comprometidos debido a Heartbleed habían sido reemitidos al 11 de abril, 2014, aunque menos habían sido revocados. • El 9 de mayo de 2014, sólo el 43% de los sitios web afectados habían reemitido sus certificados de seguridad. Además, el 7% de los certificados de seguridad reemitidos utilizaron las claves potencialmente comprometidos. "Mediante la reutilización de la misma clave privada, un sitio que se vio afectado por el fallo Heartbleed aún enfrenta exactamente los mismos riesgos que los que aún no lo han reemplazado sus certificados SSL," dijo Netcraft. eWeek dijo, por su parte, Heartbleed es "probable que se mantenga un riesgo durante meses, si no años, por venir ".
Historia • Explotación: La Agencia de Ingresos de Canadá reportó el robo de números de Seguro • Social que pertenecen a 900 contribuyentes, y declaró que fueron accedidos a través de • un exploit del fallo durante un período de 6 horas el 8 de abril de 2014. Cuando el ataque se descubrió, la agencia cerró su sitio web y amplió el plazo de presentación de los contribuyentes 30 de abril al 5 de mayo. La agencia dijo que ofrecerá a todos los afectados con servicios de protección al crédito sin costo alguno. El 16 de abril, la Policía Montada anunció que habían acusado a un estudiante de ingeniería en relación al robo con "uso no autorizado de una computadora" y de "mal uso en relación a datos". • En otro incidente, el sitio de crianza de los hijos del Reino Unido Mumsnet tuvo varias cuentas de usuario secuestradas, y se hicieron pasar por su director general. El sitio publicó una explicación de los hechos. • A su vez, investigadores anti-malware explotaron Heartbleed para acceder a foros secretos utilizadas por ciberdelincuentes. • El 12 de abril de 2014, al menos dos investigadores independientes fueron capaces de robar claves privadas usando este ataque desde un servidor experimental intencionalmente creado a tal fin por CloudFlare • Se informó por un profesor de la Universidad de Michigan que una computadora en China se había utilizado para la piratería y otras actividades maliciosas intentó el 8 de abril de 2014 para explotar Heartbleed para atacar a un servidor de la universidad, que en realidad era un honeypot dejado intencionadamente vulnerable, diseñado para atraer a los ataques que podrían entonces ser estudiados.
Historia • Posible conocimiento y explotación antes de la divulgación • Muchos sitios web importantes parcharon o desactivaron el fallo en cuestión de días de su anuncio, • pero no está claro si los atacantes potenciales sabían de él antes que eso y en qué medida lo fue explotado. • Sobre la base de los exámenes de los registros de auditoría por investigadores, se ha reportado que algunos atacantes podrían haber explotado el defecto durante al menos cinco meses antes del descubrimiento y anuncio. Errata Security señaló que un programa no malicioso muy utilizado llamado "Masscan", liberada seis meses antes de la divulgación de Heartbleed, termina abruptamente la conexión en el medio de la negociación de inicio de la misma manera como Heartbleed, generando los mismos mensajes de registro del servidor, y agregó que "Dos cosas nuevas que producen los mismos mensajes de error que puede parecer que los dos están correlacionados, pero por supuesto, no lo están". • Según Bloomberg News, dos fuentes de información privilegiada sin nombre le informaron que la Agencia de Seguridad Nacional de los Estados Unidos estaba al tanto de la falla desde poco después de su introducción, pero decidieron mantenerlo en secreto, en lugar de informarlo, con el fin de explotarla para sus propios fines. La NSA ha negado esta afirmación, al igual que Richard A. Clarke, que fue miembro de un grupo consultivo que examinó la política de vigilancia electrónica de los Estados Unidos; le dijo a Reuters el 11 de abril 2014 que la NSA no había sabido de Heartbleed.

Recommended

Heartbleed
HeartbleedHeartbleed
Heartbleed
ancarjofasa
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
UNAD
 
Compañías de internet alertan de un grave error de software que compromete la...
Compañías de internet alertan de un grave error de software que compromete la...Compañías de internet alertan de un grave error de software que compromete la...
Compañías de internet alertan de un grave error de software que compromete la...
Jessika Mondragon
 
Compu ...noticia 6
Compu ...noticia 6Compu ...noticia 6
Compu ...noticia 6
Jessika Mondragon
 
Top 10 worst computer viruses
Top 10 worst computer virusesTop 10 worst computer viruses
Top 10 worst computer viruses
fabiopetro
 
Practica 6
Practica 6Practica 6
Practica 6
briz_002
 
Operacion Windigo
Operacion WindigoOperacion Windigo
Operacion Windigo
ESET Latinoamérica
 
Navegación web anónima con tor y privoxy en kali linux
Navegación web anónima con tor y privoxy en kali linuxNavegación web anónima con tor y privoxy en kali linux
Navegación web anónima con tor y privoxy en kali linux
Francisco Medina
 

Recommended

Heartbleed
HeartbleedHeartbleed
Heartbleed
ancarjofasa
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
UNAD
 
Compañías de internet alertan de un grave error de software que compromete la...
Compañías de internet alertan de un grave error de software que compromete la...Compañías de internet alertan de un grave error de software que compromete la...
Compañías de internet alertan de un grave error de software que compromete la...
Jessika Mondragon
 
Compu ...noticia 6
Compu ...noticia 6Compu ...noticia 6
Compu ...noticia 6
Jessika Mondragon
 
Top 10 worst computer viruses
Top 10 worst computer virusesTop 10 worst computer viruses
Top 10 worst computer viruses
fabiopetro
 
Practica 6
Practica 6Practica 6
Practica 6
briz_002
 
Operacion Windigo
Operacion WindigoOperacion Windigo
Operacion Windigo
ESET Latinoamérica
 
Navegación web anónima con tor y privoxy en kali linux
Navegación web anónima con tor y privoxy en kali linuxNavegación web anónima con tor y privoxy en kali linux
Navegación web anónima con tor y privoxy en kali linux
Francisco Medina
 
Nancy bautista vázquez
Nancy bautista vázquezNancy bautista vázquez
Nancy bautista vázquez
Srta Nancita
 
Ransomware
RansomwareRansomware
Ransomware
Rodrigo Bravo
 
Riesgos de la_información_electrónica
Riesgos de la_información_electrónicaRiesgos de la_información_electrónica
Riesgos de la_información_electrónica
Diana Lucero Cano Moreo
 
Tecnología Al Día Natanael
Tecnología Al Día NatanaelTecnología Al Día Natanael
Tecnología Al Día Natanael
Natanael62
 
Noticia abril
Noticia abrilNoticia abril
Noticia abril
AntArc
 
Investigacion de seguridad
Investigacion de seguridadInvestigacion de seguridad
Investigacion de seguridad
Julio Cesar
 
Internet y sus problemas
Internet y sus problemasInternet y sus problemas
Internet y sus problemas
Noelia García Hidalgo
 
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Alonso Caballero
 
Seguridad en la red
Seguridad en la red Seguridad en la red
Seguridad en la red
Yeray Castillo Martin
 
Actividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSHActividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSH
Francisco Medina
 
Reporte de procesador ccc
Reporte de procesador cccReporte de procesador ccc
Reporte de procesador ccc
Ixchel Alpizar
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
Ixchel Alpizar
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
Ixchel Alpizar
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
RomarioJonathan
 
Efectos del ds en el clima organizacional
Efectos del ds en el clima organizacionalEfectos del ds en el clima organizacional
Efectos del ds en el clima organizacional
1123456789101112
 
Press Information.pdf
Press Information.pdfPress Information.pdf
Press Information.pdf
unn | UNITED NEWS NETWORK GmbH
 
Bekanntgabe Laureus World Sports Awards 2011_.pdf
Bekanntgabe Laureus World Sports Awards 2011_.pdfBekanntgabe Laureus World Sports Awards 2011_.pdf
Bekanntgabe Laureus World Sports Awards 2011_.pdf
unn | UNITED NEWS NETWORK GmbH
 
Sesión 01 fundamentos de windows 7
Sesión 01 fundamentos de windows 7Sesión 01 fundamentos de windows 7
Sesión 01 fundamentos de windows 7
Deivid Stevens Paredes Sarrome
 
Cómo reducir la tasa de rebote de tu web
Cómo reducir la tasa de rebote de tu webCómo reducir la tasa de rebote de tu web
Cómo reducir la tasa de rebote de tu web
Aukera
 
La play 4 y el inventor
La play 4 y el inventorLa play 4 y el inventor
La play 4 y el inventor
tecnopro
 
Recreos,Katherine Garate
Recreos,Katherine GarateRecreos,Katherine Garate
Recreos,Katherine Garate
Katherine15Garate
 
Acreditacion y tics
Acreditacion y ticsAcreditacion y tics
Acreditacion y tics
pedrogqc
 

More Related Content

What's hot

Nancy bautista vázquez
Nancy bautista vázquezNancy bautista vázquez
Nancy bautista vázquez
Srta Nancita
 
Noticia abril
Noticia abrilNoticia abril
Noticia abril
AntArc
 
Investigacion de seguridad
Investigacion de seguridadInvestigacion de seguridad
Investigacion de seguridad
Julio Cesar
 
Reporte de procesador ccc
Reporte de procesador cccReporte de procesador ccc
Reporte de procesador ccc
Ixchel Alpizar
 

What's hot (14)

Nancy bautista vázquez
Nancy bautista vázquezNancy bautista vázquez
Nancy bautista vázquez
 
Ransomware
RansomwareRansomware
Ransomware
 
Riesgos de la_información_electrónica
Riesgos de la_información_electrónicaRiesgos de la_información_electrónica
Riesgos de la_información_electrónica
 
Tecnología Al Día Natanael
Tecnología Al Día NatanaelTecnología Al Día Natanael
Tecnología Al Día Natanael
 
Noticia abril
Noticia abrilNoticia abril
Noticia abril
 
Investigacion de seguridad
Investigacion de seguridadInvestigacion de seguridad
Investigacion de seguridad
 
Internet y sus problemas
Internet y sus problemasInternet y sus problemas
Internet y sus problemas
 
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
 
Seguridad en la red
Seguridad en la red Seguridad en la red
Seguridad en la red
 
Actividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSHActividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSH
 
Reporte de procesador ccc
Reporte de procesador cccReporte de procesador ccc
Reporte de procesador ccc
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 

Viewers also liked

Efectos del ds en el clima organizacional
Efectos del ds en el clima organizacionalEfectos del ds en el clima organizacional
Efectos del ds en el clima organizacional
1123456789101112
 
La play 4 y el inventor
La play 4 y el inventorLa play 4 y el inventor
La play 4 y el inventor
tecnopro
 
Acreditacion y tics
Acreditacion y ticsAcreditacion y tics
Acreditacion y tics
pedrogqc
 
Ley especial contra los delitos informáticos
Ley especial contra los delitos informáticos Ley especial contra los delitos informáticos
Ley especial contra los delitos informáticos
consultorialegaldominicana
 
Los colores, las figuras y las imágenes edith
Los colores, las figuras y las imágenes edithLos colores, las figuras y las imágenes edith
Los colores, las figuras y las imágenes edith
efgallardog
 
Descriptivismomb
DescriptivismombDescriptivismomb
Descriptivismomb
Nanniii
 

Viewers also liked (20)

Efectos del ds en el clima organizacional
Efectos del ds en el clima organizacionalEfectos del ds en el clima organizacional
Efectos del ds en el clima organizacional
 
Press Information.pdf
Press Information.pdfPress Information.pdf
Press Information.pdf
 
Bekanntgabe Laureus World Sports Awards 2011_.pdf
Bekanntgabe Laureus World Sports Awards 2011_.pdfBekanntgabe Laureus World Sports Awards 2011_.pdf
Bekanntgabe Laureus World Sports Awards 2011_.pdf
 
Sesión 01 fundamentos de windows 7
Sesión 01 fundamentos de windows 7Sesión 01 fundamentos de windows 7
Sesión 01 fundamentos de windows 7
 
Cómo reducir la tasa de rebote de tu web
Cómo reducir la tasa de rebote de tu webCómo reducir la tasa de rebote de tu web
Cómo reducir la tasa de rebote de tu web
 
La play 4 y el inventor
La play 4 y el inventorLa play 4 y el inventor
La play 4 y el inventor
 
Recreos,Katherine Garate
Recreos,Katherine GarateRecreos,Katherine Garate
Recreos,Katherine Garate
 
Acreditacion y tics
Acreditacion y ticsAcreditacion y tics
Acreditacion y tics
 
P001 www.trabajopolis.bo
P001 www.trabajopolis.boP001 www.trabajopolis.bo
P001 www.trabajopolis.bo
 
Informe graffiti
Informe graffitiInforme graffiti
Informe graffiti
 
Acción poética Ecuador
Acción poética EcuadorAcción poética Ecuador
Acción poética Ecuador
 
Presentación H
Presentación HPresentación H
Presentación H
 
Ley especial contra los delitos informáticos
Ley especial contra los delitos informáticos Ley especial contra los delitos informáticos
Ley especial contra los delitos informáticos
 
Software libre
Software libreSoftware libre
Software libre
 
Sociales
SocialesSociales
Sociales
 
Los colores, las figuras y las imágenes edith
Los colores, las figuras y las imágenes edithLos colores, las figuras y las imágenes edith
Los colores, las figuras y las imágenes edith
 
KeyFigures_2010_D.pdf
KeyFigures_2010_D.pdfKeyFigures_2010_D.pdf
KeyFigures_2010_D.pdf
 
Descriptivismomb
DescriptivismombDescriptivismomb
Descriptivismomb
 
6.0
6.06.0
6.0
 
Tintín
TintínTintín
Tintín
 

Similar to Heartbleed

Similar to Heartbleed (20)

Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Noticia 6
Noticia 6Noticia 6
Noticia 6
 
Noticia abril
Noticia abrilNoticia abril
Noticia abril
 
Abril
AbrilAbril
Abril
 
Reporte
ReporteReporte
Reporte
 
Fallo de seguridad "HeartBleed".
Fallo de seguridad "HeartBleed".Fallo de seguridad "HeartBleed".
Fallo de seguridad "HeartBleed".
 
Noticia 6
Noticia 6Noticia 6
Noticia 6
 
Resumen pendiente.
Resumen pendiente.Resumen pendiente.
Resumen pendiente.
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Noticia de abril
Noticia de abrilNoticia de abril
Noticia de abril
 
Noticia Abril
Noticia Abril Noticia Abril
Noticia Abril
 
Noticia #6
Noticia #6Noticia #6
Noticia #6
 
Examen parcial
Examen parcialExamen parcial
Examen parcial
 
Reporte abril
Reporte abrilReporte abril
Reporte abril
 
NOTICIA DE ABRIL
NOTICIA DE ABRILNOTICIA DE ABRIL
NOTICIA DE ABRIL
 
NOTICIA DE ABRIL
NOTICIA DE ABRILNOTICIA DE ABRIL
NOTICIA DE ABRIL
 
NOTICIA 6
NOTICIA 6NOTICIA 6
NOTICIA 6
 
Compu ...noticia 6
Compu ...noticia 6Compu ...noticia 6
Compu ...noticia 6
 
Compu ...noticia 6
Compu ...noticia 6Compu ...noticia 6
Compu ...noticia 6
 
openssl
opensslopenssl
openssl
 

Recently uploaded

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Recently uploaded (10)

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 

Heartbleed

  • 2. Heartbleed Heartbleed (español: hemorragia de corazón) es un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.1 Investigaciones de auditorías muestran que, al parecer, algunos atacantes han explotado este error desde hace al menos cinco meses antes de que fuera descubierto y publicado.
  • 3. Historia • Aparición: La extensión Heartbeat para los protocolos Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) se propuso como un estándar en febrero del 2012 por el RFC 6520. Esto provee una forma de probar y mantener viva un enlace de comunicación segura sin la necesidad de renegociar la conexión cada vez. • En 2011, uno de los autores del RFC, Robin Seggelmann, en ese tiempo un estudiante de doctorado en la Universidad de Duisburg-Essen, implementó la extensión Heartbeat para OpenSSL. Siguiendo la petición de poner su trabajo en OpenSSL, su cambio fue revisado por Stephen N. Henson, uno de los cuatro desarrolladores del núcleo de OpenSSL. Henson aparentemente no notó el bug en la implementación de Seggelmann,6 e introdujo el código con falla en el repositorio de OpenSSL el 31 de diciembre de 2011. El código vulnerable fue adoptado y usado ampliamente con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. El soporte de Heartbeat estaba habilitado por defecto, causando que las versiones afectadas fueran vulnerables por defecto.
  • 4. Historia • Descubrimiento: De acuerdo con Mark J. Cox de Open SSL, Neel Mehta (Del equipo de seguridad de Google) reportó un Heartbleed en el 1 de abril de2014. El bug implicó un severo error en el manejo de memoria en la implementación de la "Transport Layer Security Heartbeat Extensión". Este defecto pudo ser usado para revelar más de 64 kilobytes de la memoria de la aplicación con cada heartbeat. • El bug fue nombrado por un ingeniero en la firma Codenomicon, una empresa finlandesa de ciber seguridad, quien aparte creó el logo y lanzó el dominio Heartbleed.com para explicar el bug al público en general. De acuerdo con la propia empresa, Neel Mehta primero reportó el bug a OpenSSL, pero ambos, Google y Codenomicon, lo descubrieron independientemente. Codenomicon reporta al 3 de abril como su fecha de descubrimento del bug y su fecha de notificación de NCSC-FI (formalmente conocido como CERT-FI) por vulnerabilidad de coordinación. Mehta además felicitó a Codenomicon, sin ir a detalles. • The Sydney Morning Herald publicó una línea del tiempo del descubrimiento el 15 de abril, la cual mostró que algunas de las organizaciones podrían ser capaces de reparar el bug antes de su publicación. En algunos casos, no está tan claro cómo lo encontraron.
  • 5. Historia • Resolución: Bodo Moeller y Adam Langley de Google prepararon la corrección para Heartbleed. El parche resultante, que se añadió al seguimiento de incidencias de Red Hat, con fecha 21 de marzo de 2014. La fecha cronológica siguiente disponible en la evidencia pública es la afirmación de CloudFlare de que ellos solucionaron el defecto en sus sistemas en 31 de marzo 2014. Stephen N. Henson aplica la corrección al sistema de control de versiones de OpenSSL, el 7 de abril. La primera versión corregida, 1.0.1g, fue lanzada el mismo día. • Despliegue: Al 8 de mayo de 2014, 318,239 servidores web públicos eran todavía vulnerables. • Renovación y revocación de certificados: Según Netcraft, alrededor de 30.000 de los más de 500.000 certificados X.509 que podrían haber sido comprometidos debido a Heartbleed habían sido reemitidos al 11 de abril, 2014, aunque menos habían sido revocados. • El 9 de mayo de 2014, sólo el 43% de los sitios web afectados habían reemitido sus certificados de seguridad. Además, el 7% de los certificados de seguridad reemitidos utilizaron las claves potencialmente comprometidos. "Mediante la reutilización de la misma clave privada, un sitio que se vio afectado por el fallo Heartbleed aún enfrenta exactamente los mismos riesgos que los que aún no lo han reemplazado sus certificados SSL," dijo Netcraft. eWeek dijo, por su parte, Heartbleed es "probable que se mantenga un riesgo durante meses, si no años, por venir ".
  • 6. Historia • Explotación: La Agencia de Ingresos de Canadá reportó el robo de números de Seguro • Social que pertenecen a 900 contribuyentes, y declaró que fueron accedidos a través de • un exploit del fallo durante un período de 6 horas el 8 de abril de 2014. Cuando el ataque se descubrió, la agencia cerró su sitio web y amplió el plazo de presentación de los contribuyentes 30 de abril al 5 de mayo. La agencia dijo que ofrecerá a todos los afectados con servicios de protección al crédito sin costo alguno. El 16 de abril, la Policía Montada anunció que habían acusado a un estudiante de ingeniería en relación al robo con "uso no autorizado de una computadora" y de "mal uso en relación a datos". • En otro incidente, el sitio de crianza de los hijos del Reino Unido Mumsnet tuvo varias cuentas de usuario secuestradas, y se hicieron pasar por su director general. El sitio publicó una explicación de los hechos. • A su vez, investigadores anti-malware explotaron Heartbleed para acceder a foros secretos utilizadas por ciberdelincuentes. • El 12 de abril de 2014, al menos dos investigadores independientes fueron capaces de robar claves privadas usando este ataque desde un servidor experimental intencionalmente creado a tal fin por CloudFlare • Se informó por un profesor de la Universidad de Michigan que una computadora en China se había utilizado para la piratería y otras actividades maliciosas intentó el 8 de abril de 2014 para explotar Heartbleed para atacar a un servidor de la universidad, que en realidad era un honeypot dejado intencionadamente vulnerable, diseñado para atraer a los ataques que podrían entonces ser estudiados.
  • 7. Historia • Posible conocimiento y explotación antes de la divulgación • Muchos sitios web importantes parcharon o desactivaron el fallo en cuestión de días de su anuncio, • pero no está claro si los atacantes potenciales sabían de él antes que eso y en qué medida lo fue explotado. • Sobre la base de los exámenes de los registros de auditoría por investigadores, se ha reportado que algunos atacantes podrían haber explotado el defecto durante al menos cinco meses antes del descubrimiento y anuncio. Errata Security señaló que un programa no malicioso muy utilizado llamado "Masscan", liberada seis meses antes de la divulgación de Heartbleed, termina abruptamente la conexión en el medio de la negociación de inicio de la misma manera como Heartbleed, generando los mismos mensajes de registro del servidor, y agregó que "Dos cosas nuevas que producen los mismos mensajes de error que puede parecer que los dos están correlacionados, pero por supuesto, no lo están". • Según Bloomberg News, dos fuentes de información privilegiada sin nombre le informaron que la Agencia de Seguridad Nacional de los Estados Unidos estaba al tanto de la falla desde poco después de su introducción, pero decidieron mantenerlo en secreto, en lugar de informarlo, con el fin de explotarla para sus propios fines. La NSA ha negado esta afirmación, al igual que Richard A. Clarke, que fue miembro de un grupo consultivo que examinó la política de vigilancia electrónica de los Estados Unidos; le dijo a Reuters el 11 de abril 2014 que la NSA no había sabido de Heartbleed.