¿Qué tan paranoico debe ser el usuario promedio con respecto al corazón? [duplicar]

Navega tus respuestas
11

Las preguntas sobre Heartbleed han aparecido en la lista de preguntas populares desde la mañana, desde el intercambio de la pila de seguridad a android
He estado leyendo muchos de ellos, la mayoría son técnicos y desde la perspectiva de los administradores de servidores son tan difíciles de entender para el usuario promedio
Estos son algunos de los sencillos que he encontrado

  1. enlace
  2. ¿Cómo funciona exactamente el latido del corazón de OpenSSL TLS (corazón) explotar el trabajo?
  3. ¿Qué deben hacer los usuarios finales con Heartbleed?
  4. ¿Afecta la vulnerabilidad de los sangrados a los clientes tan seriamente?

No entiendo los detalles técnicos, por lo tanto, como usuario promedio de Windows, ¿qué tan paranoico debería ser y hay algo que debo (o puedo) hacer, si un servicio que uso es vulnerable?

Por ejemplo, la respuesta aceptada para el punto 4 anterior dice esto sobre los sistemas vulnerables:

  

Información sobre clientes comunes:

     

Windows (todas las versiones): Probablemente no se vea afectado (utiliza SChannel / SSPI), pero   Se debe prestar atención a las implementaciones TLS en particular   aplicaciones Por ejemplo, los usuarios de Cygwin deben actualizar su OpenSSL   paquetes.

     

OSX e iOS (todas las versiones): Probablemente no se vea afectado. SANS implica que puede   ser vulnerable diciendo "OS X Mavericks NO TIENE PARCHE disponible", pero   otros señalan que OSX 10.9 se envía con OpenSSL 0.9.8y, que no es   afectado. Apple dice: "Las bibliotecas OpenSSL en OS X están en desuso, y   OpenSSL nunca se ha proporcionado como parte de iOS "

     

Chrome (todas las plataformas excepto Android): Probablemente no se vea afectado (utiliza NSS)

     

Chrome en Android: 4.1.1 puede verse afectado (utiliza OpenSSL). Fuente. 4.1.2   no debe verse afectado, ya que se compila con los latidos de corazón desactivados.   Fuente. Productos de Mozilla (por ejemplo, Firefox, Thunderbird, SeaMonkey,   Fennec): Probablemente no se vea afectado, todos utilizan NSS

Entonces, si soy un usuario promedio de Windows con Chrome como navegador predeterminado, ¿no soy vulnerable? No creo que eso sea cierto, así que probablemente no esté obteniendo algo aquí. Esta página dice que Yahoo es el más grande proveedor de servicios web que se sabe que es vulnerable (también incluye stackexchange). Entonces, si tengo un correo electrónico de Yahoo o una cuenta de stackexchange, ¿significa que mi contraseña es vulnerable desde el lado de mi computadora cuando la escribo? En la respuesta que cité anteriormente, dice que Windows y Chrome probablemente no se verán afectados ya que no usan openssl. Entonces, ¿cómo me hace esto vulnerable cuando uso Yahoo y stackexchange que aparentemente usan openssl? ¿Hay algo que pueda hacer al respecto y, de ser así, qué puedo hacer? ¿Cambiar mi contraseña de inmediato o esperar a que se pongan en contacto conmigo y cambiar la contraseña después de eso?

Tengo otra pregunta. La respuesta aceptada para el artículo 1 tiene esto que decir:

  

Bueno, código errante en OpenSSL. Aquí está el compromiso que reparó el   vulnerabilidad. No especularé si esto fue realmente un error.   o posiblemente un poco de código ingresado en nombre de un mal actor. El error   se presentó en diciembre de 2011 y se actualizó el 7 de abril de 2014.

Si el error es tan antiguo, y realmente es así de serio, ¿por qué no se hizo nada hasta ahora?

    
pregunta user13267 09.04.2014 - 12:42
fuente

3 respuestas

3

Comenzaré de abajo hacia arriba :)

El error ha estado presente por algún tiempo, pero no fue descubierto hasta hace poco. Por definición, los errores no son obvios, son errores. Cuando finalmente se encontró , hubo un esfuerzo frenético para solucionarlo.

La respuesta a la que está vinculado indica que es difícil que un servidor web malintencionado ataque a una computadora individual, ya que muchos navegadores web (que son lo más común que usaría para establecer una conexión TLS) no son vulnerables.

Sin embargo, usted es todavía vulnerable cuando está conectado a un servidor vulnerable. Ejemplo: Usted participa en un foro en línea. Un atacante se conecta al mismo servidor mediante HTTPS y, al utilizar este ataque, roba las cookies de la sesión de la memoria del servidor. Ahora el atacante puede suplantarte en ese foro.

Además de no iniciar sesión en nada, hay poco que un usuario final no técnico pueda hacer en este momento. Depende de los administradores de sistemas y de los ingenieros parchear sus servidores. Puede ayudar mejor siguiendo sus recomendaciones, siempre y cuando se realicen.

Una vez que un servicio haya sido parchado, inicie sesión normalmente y cambie su contraseña. Supongo que muchos sitios web forzarán los cambios de contraseña de todos modos después de que hayan sido parcheados.

    
respondido por el scuzzy-delta 09.04.2014 - 12:56
fuente
4

Su sistema no es vulnerable al problema, ya que está navegando en Windows con Chrome, pero la mayoría de los sitios que visita y utiliza fueron posiblemente vulnerables.

Hay varias cosas que puedes hacer:

  • Compruebe los certificados SSL de los sitios web que visita, asegúrese de que hayan sido emitidos después del 7 de abril de 2014
  • Verifique que los sitios web que visita hayan sido parcheados o no sean vulnerables (Esto podría ayudar: enlace )
  • Si no son vulnerables y el certificado es posterior a Heartbleed, cambie su contraseña (en caso de que estuviera comprometida)

Personalmente tengo un complemento de Firefox llamado "Patrulla de certificados", que me avisa cuando un certificado ha sido reemplazado o es nuevo, lo que me ayuda a recordarme que verifique si están seguros o no. También tengo complementos que identifican el software que se ejecuta en los servidores, así que sé si están ejecutando un servidor que no fue afectado por Heartbleed (Windows Server, por ejemplo, o OpenSSL 0.9.8)

  

Si el error es tan antiguo, y realmente es tan serio, entonces ¿por qué no lo fue?   ¿Algo hecho hasta ahora?

No se hizo nada hasta ahora porque nadie sabía que había un problema hasta ahora. Desafortunadamente, se deslizó sin ser notado - En proyectos que son grandes y tienen muchos colaboradores, los errores ocurren. Es desafortunado que haya pasado tanto tiempo sin ser notado y arreglado.

    
respondido por el William Lawn Stewart 09.04.2014 - 12:52
fuente
3

Chrome y Firefox no usan la biblioteca OpenSSL (en su lugar usa el NSS de Mozilla), por lo que usted, como cliente , no se ve afectado directamente. Los sitios que visita (ya sea a través de HTTP o HTTPS) pueden filtrar información si también operan escuchan las solicitudes de HTTPS y usan una versión vulnerable OpenSSL .

Yahoo fue vulnerable durante mucho tiempo, pero se ha corregido ayer. Si ha iniciado sesión a través de la web ayer, considere que su contraseña está comprometida.

  
    

Bueno, código errante en OpenSSL. Aquí está el commit que reparó la vulnerabilidad. No especularé si esto fue realmente un error.     o posiblemente un poco de código ingresado en nombre de un mal actor. El     el error apareció en diciembre de 2011 y se reparó hoy, 7 de abril,     2014.

  
     

Si el error es tan antiguo, y realmente es tan serio, entonces ¿por qué no lo fue?   ¿Algo hecho hasta ahora?

El error se introdujo en ese momento, no significa que los desarrolladores de OpenSSL supieran en ese momento que se creó un error.

    
respondido por el Lekensteyn 09.04.2014 - 12:51
fuente

Lea otras preguntas en las etiquetas

Firma de solicitud basada en HMAC - Almacenamiento de la sal ¿Cuáles son las ventajas y desventajas de usar un sistema de detección de amenazas?