A estas alturas seguro que muchos en las empresas habéis oído hablar de Heartbleeed, sobre todo si estáis interesados en cuestiones de seguridad o mantenéis vuestras propias páginas web, por ejemplo. Hoy vamos a tratar de resumir sucintamente qué supone heartbleed en la empresa, cómo nos afecta y cómo solucionar los problemas de seguridad.
Heartbleed es uno de los fallos de seguridad más graves que han afectado a Internet a lo largo de la historia y todos estamos afectados, tanto a nivel de usuario como en distintos aspectos de nuestra empresa, como los servidores web, los routers y electrónica de red o las comunicaciones VPN que utiliza nuestra organización. En definitiva todo lo que tiene que ver con el uso de la librería OpenSSL que se ha visto afectada por el fallo.
Cómo afecta Heartbleed a la seguridad de nuestras empresas
OpenSSL es una libería muy utilizada para implimentar SSL/TLS que utiliza por ejemplo el servidor Apache para establecer conexiones HTTPS. De forma que todas las páginas que utilizan este servicio estarían potencialmente en riesgo. Para las empresas, por ejemplo, si tenemos una tienda online durante el proceso de pago seguramente se utilizaría este protocolo.
Servidores, páginas web, routers, correo electrónico se pueden ver afectados
El fallo hace especialmente vulnerables a los servidores ya que permite a los atacantes conseguir claves privadas de los mismos, de esta forma estamos poniendo en riesgo, las contraseñas y los datos de los clientes que visitan nuestras webs, compran en nuestras tiendas online, etc. o simplemente las comunicaciones que utilizan VPNs de nuestros sistemas.
Pero también afecta a los servidores de nuestra empresa que utilizan IIS, Para saber si la web de nuestra empresa o nuestro e-commerce se encuentra afectada por el problema podemos comprobarlo de forma sencilla. De esta forma podemos corregir el problema lo antes posible, o reclamar a nuestro proveedor de alojamiento que implemente la solución.
También pueden estar afectados los routers o dispositivos de red de nuestra empresa. Por ejemplo, Cisco y Juniper han sacado una lista de dispositivos y servicios afectados por lo que habrá que esperar a que esté disponible la actualización del firmware de estos productos para solucionarlo.
Cómo podemos solucionar los problemas de seguridad
Actualizar la librería OpenSSL y revocar los certificados es indispensable para las seguridad
El primer paso es actualizar la librería OpenSSL a la última versión, OpenSSL 1.0.1g, pero con esto no es suficiente. Después tenemos que revocar los certificados emitidos, ya que de otra forma, aunque hayamos corregido el problema, se obligue a todos los que conectan a cambiar el certificado que utilizaba para identificarse de forma segura. Esta revocación sólo se ha realizado en 30.000 de más de los 500.000 sitios afectados.
Estos certificados sirven para cifrar las comunicaciones y asegurarte de la identidad del servidor. Si no son renovados el cifrado que tenemos no servirá absolutamente para nada. El problema es que a nivel de usuario, los navegadores no gestionan de forma eficiente estos certificados. En realidad sólo lo hacen de forma correcta, Internet Explorer y Opera mostrando un aviso al usuario diciendo que el certificado se ha revocado.
Vía | Genbeta En Tecnología Pyme | Cuatro consejos sobre seguridad imprescindibles para el comercio electrónico | ¿Para qué sirven los certificados SSL?