Inicio / Blog / Heartbleed ¿desmitificado?

Heartbleed ¿desmitificado?

Publicado el 15/04/2014, por INCIBE
heartbleed

Uf! Qué días llevamos los que trabajamos en seguridad con el fallo hecho público el 7 de Abril en las librerías OpenSSL.

Desde entonces, las publicaciones sobre el tema han inundado los medios de diagnósticos e impactos de todo tipo…

… pero hasta qué punto se ha cuantificado la magnitud de Heartbleed? En este tiempo, también algunos mensajes han aportado contrapuntos para el debate.

Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba. Y por supuesto… aparecen varias listas de sitios afectados.

En INTECO tratando como siempre de cumplir nuestra labor de informar acerca de las amenazas presentes en la red, también hemos seguido de cerca la información sobre ésta que, dada la importancia del fallo, exigía una especial atención y esfuerzo. De hecho publicamos dos avisos de seguridad relacionados con el mismo:

A nivel de investigación, parecía imprescindible conocer más sobre el fallo, probar en el laboratorio a extraer de la memoria esos datos “jugosos”, aunque tan solo se tratara de una porción pequeña y aleatoria de la misma (64kb). Así, en las pruebas que hemos hecho nos hemos encontrado que en realidad muchos servicios en Internet e Intranets realmente no están afectados.

Uno de los motivos es que productos de la familia Microsoft no son vulnerables ya que utilizan sus propias implementaciones de SSL. Y no sólo eso, si no que muchos sistemas utilizan versiones de la librería OpenSSL anteriores y, por tanto, no adolecen del fallo identificado.

En concreto, a nivel estadístico, y gracias a la colaboración con Red.es en materia de seguridad de dominios .es, el análisis realizado sí permite aportar algunos datos (bastante alejados de los dos tercios de Internet):

heartbleed_dominios

heartbleed_webs

  • De los dominios .es activos a fecha de 16 de Marzo sólo el 0,42% utilizaban librerías OpenSSL potencialmente vulnerables
  • A nivel de direcciones Web (<dominio>.es, o www.<dominio>.es, y las redirecciones existentes de dominios .es) los porcentajes de servicios potencialmente vulnerables bajo dichos dominios son:

Esta sería la información puramente estadística obtenida a partir de las versiones utilizadas en los servicios. Si bien, es posible que alguna de estas webs utilice igualmente una versión de OpenSSL vulnerable aunque el banner del servicio no muestre directamente dicha información. Conscientes de esa limitación, los datos reales de sitios afectados serían los siguientes:

heartbleed_afectados

Esta información se obtuvo a fecha de 14 de Abril (con los dominos .es actualizados a nivel de altas y bajas a fecha de 6 de Abril), pero para cuantificar con más exactitud la magnitud de sitios impactados, habría que sumar a esta cifra los sitios web que se parchearon en los días previos desde que conoció la vulnerabilidad.

Estos datos corresponden a los datos disponibles en INTECO y parece que se acercan a la dimensión apuntada por otras pruebas realizadas tomando como muestra las estadísticas de Alexa, el 8 de Abril solo el 0,63% de los 10.000 primeros sitios estarían afectados .github.com/musalbas/heartbleed-masstest/blob/master/scans/top10000-08-Apr-14-1600UTC.txt (Enlace no disponible actualmente)

alexa_heartbleed

A partir del revuelo generado, la preocupación del usuario por el alcance de la vulnerabilidad y cómo podría afectar a su privacidad el riesgo de que alguien haya podido capturar sus contraseñas en alguno de los sitios web afectados también requiere cierta reflexión.

El grado de exposición y arco temporal en el cual la información privada protegida por OpenSSL ha estado expuesta, es difícil de determinar. El bug se introdujo en el código de OpenSSL en Diciembre de 2011 y ha estado funcionando desde la salida de la release 1.0.1 el 14 de Marzo de 2012. Esto quiere decir que el bug ha sido "potencialmente explotable" desde esa fecha aunque, al no ser conocido de forma pública, el impacto quedaría limitado a quien pudiera tener conocimiento del fallo y su posible forma de explotación.

El día 7 de Abril de 2014, el bug se hizo público, paralelamente a la publicación del parche que lo corrige. Desde ese momento, y hasta la aplicación del parche correctivo es donde el riesgo de compromiso de datos ha sido alto. Sólo entonces nuestras credenciales habrán estado en una zona de memoria potencialmente accesible y con un fallo conocido por los ciberdelincuentes. Por lo tanto, si por ejemplo hace 3 meses que no accedemos a una página web, esa contraseña no habrá estado al alcance de los ciberdelincuentes.

Otra cuestión importante atañe a la responsabilidad que tienen las web afectadas sobre nuestra privacidad y las contraseñas que utilizamos, responsabilidad que deben ejercer avisando a sus usuarios cuando detectan posibles compromisos de información. Por ejemplo la red social Pinterest

pinterest_heartbleed

Con estos datos y ejemplos, sí parece que podemos estar de acuerdo en que la situación provocada por esta vulnerabilidad tan importante no es exactamente la que han venido reflejando titulares o afirmaciones imprecisas. No hay duda de que estamos ante una vulnerabilidad grave sobre la que seguro que nos queda trabajo por hacer. De hecho existen muchos otros servicios afectados como móviles, routers domésticos, VPN, etc. para los que está por comprobar el grado de impacto, el comportamiento, o los datos que se pueden extraer de la memoria en el lado de los clientes como navegadores u otras aplicaciones que hagan uso de las librerías OpenSSL.

Ahora bien, si tratamos de extraer lecciones aprendidas, estas situaciones evidencian una vez más la importancia de dos recomendaciones de seguridad básicas que no nos cansamos de repetir: Cambiar las contraseñas cada cierto tiempo, y mantener actualizadas todas nuestras aplicaciones y productos IT.