Heartbleed
•
0 likes•467 views
Este documento describe el bug Heartbleed, una vulnerabilidad de seguridad en la biblioteca OpenSSL que permite a los atacantes robar datos confidenciales como claves privadas SSL. Explica cómo funciona la extensión Heartbeat de TLS/SSL y cómo el bug permite leer la memoria de servidores y clientes. También lista sitios web y software afectados, e insta a las personas a probar su vulnerabilidad y actualizar OpenSSL.
More Related Content
What's hot
What's hot (20)
Viewers also liked
Viewers also liked (17)
Similar to Heartbleed
Similar to Heartbleed (20)
More from Fabio García Ramírez
More from Fabio García Ramírez (15)
Heartbleed
- 1. HEARTBLEED BUG Ing. Fabio García Ramírez Mg. Software Libre
- 2. Agenda ● Conceptualizacion: http/https, ssl/tls, heartbeat, openssl. ● Infografía: https/tls, https/tls con heartbeat ● Que es HeartBleed? ● Infografía: HeartBleed ● Sitios Web y Software Afectado ● Como enfrentar a HeartBleed
- 3. Conceptualizacion: HTTP vs HTTPS ● Una conexión HTTP simple es una serie de interacciones no relacionadas. Su navegador solicita datos desde el sitio, el sitio devuelve esos datos, y eso es todo, hasta la próxima petición. ● Cuando se conecta con un sitio web seguro (HTTPS), hay una especie de apretón de manos para configurar la sesión segura. El navegador solicita el certificado del sitio, el servidor lo envía y este se verifica, obteniéndose la clave pública del sitio y generándose una clave de cifrado(privada) para la sesión segura, y lo envia al servidor del sitio, donde se descifra la clave privada y se inicia la sesión. ●
- 4. Conceptualizacion: HTTP vs HTTPS
- 5. Conceptualizacion: SSL / TLS ● Secure Sockets Layer (SSL; en español «capa de conexión segura») y su sucesor Transport Layer Security (TLS; en español «seguridad de la capa de transporte») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet. ●
- 6. Conceptualizacion: Extensión HeartBeat ● La extensión Heartbeat para los protocolos Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) se propuso como un estándar en febrero del 2012 por el RFC 6520.2 Esto provee una forma de probar y mantener viva un enlace de comunicación segura sin la necesidad de renegociar la conexión cada vez.. ●
- 7. Conceptualizacion: OpenSSL ● OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. ● Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). ● Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS).. ●
- 9. Infografía: Conexion HTTPS/SSL con extension HeartBeat
- 10. Infografía: HeartBeat uso normal vs malicioso
- 11. Que es HeartBleed? ● Heartbleed (español: hemorragia de corazón) es un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor. ● Se reporta el primer caso entre el 1 al 3 de Abril de 2014.
- 15. Sitios y Software Afectado
- 16. Sitios y Software Afectado
- 17. Como enfrentar a HeartBleed ● Realizar el Test Online de HeartBleed, https://filippo.io/Heartbleed/ ● Demo Live en: https://www.youtube.com/watch?v=iNQuMG6hdzE ● http://billatnapier.wordpress.com/2014/04/15/real-life-demo-of-th e-heartbleed-vulnerability/
- 18. Muchas Gracias ● fagarra@gmail.com ● https://filippo.