Logo Lainformacion.com

Categoría: Seguridad

«Heartbleed»: el fallo de seguridad más espectacular que Internet haya visto jamás

Heartbleed

En una escala de gravedad del 1 al 10 esto es un 11

– Bruce Schneier, experto en seguridad

Desde hace días se habla sobre este gravísimo, catastrófico y devastador bug llamado Heartbleed que afecta al código de OpenSSL, el protocolo de seguridad clave de muchos servidores de la Web. El bug entró por error en ese código aparentemente sin malas intenciones, hace dos años. Pero hasta que expertos de Google lo han detectado y se ha corregido ha pasado mucho tiempo.

El bug Heartbleed permite a un atacante extraer desde el exterior información directamente de la memoria de los servidores web supuestamente seguros; datos que incluyen cuentas, contraseña e incluso los certificados o «claves maestras» que se emplean para garantizar su identidad y la confidencialidad de las comunicaciones. Para colmo de males, no queda registro alguno de que se haya utilizado, lo que lo convierte casi en «indetectable».

El fallo ya está parcheado y las grandes empresas y especialmente los proveedores de hosting ya lo han arreglado en sus servidores web. Pero nadie puede asegurar que en estos dos años alguien no se haya "aprovechado" de él. De hecho estos días se han enviado millones de correos por parte de servicios web de todo tipo recomendando a los usuarios «cambiar sus contraseñas».

Mi recomendación es también cambiar todas las contraseñas personales lo antes posible. Y no usar la misma en dos sitios distintos. Es aburrido e incómodo pero necesario – el fallo ha llegado a todos los confines de Internet y no está nada claro cuántas organizaciones o individuos pueden haberlo aprovechado (tanto en estos últimos días como anteriormente).

Hay más detalles al respecto en este artículo que publiqué para RTVE.es: «Heartbleed»: el nombre del fallo de seguridad más impresionante en la historia de Internet.

El colmo de los colmos ha sido la información publicada por Bloomberg en la que se asegura que la NSA estuvo explotando el bug para recopilar información de toda Internet durante estos dos años. En otras palabras: permitieron que un gravísimo problema de seguridad quedara «suelto» afectando a millones de usuarios y empresas mientras lo aprovechaban para aspirar las intimidades de la red al completo, amparándose en el clásico mensaje de «os hemos espiado, pero ha sido por vuestro bien». Como no podía ser de otra forma, la NSA lo ha negado oficialmente – pero ya poca gente les cree.

El Tribunal de Justicia de la Unión Europea tumba la Directiva de Retención de Datos

Según esta sentencia (en inglés) del Tribunal de Justicia de la Unión Europea la Directiva 2006/24/CE, de Retención de Datos [PDF], es contraria al derecho de la Unión y, por tanto, no válida.

El TJUE reconoce que la retención de datos es una herramienta cuyo uso puede estar justificado pero no en su formulación actual, pues según argumentan:

  1. Es demasiado amplia e incluye a todas las personas, incluso aquellas de las que no hay una evidencia mínima que sugiera su relación con un delito grave.
  2. No requiere relación entre los datos que son objeto de retención y una amenaza concreta para la seguridad.
  3. No contiene criterios objetivos para determinar los límites de acceso.
  4. Tampoco hay en la Directiva condiciones de acceso y uso de los datos por las autoridades nacionales.
  5. No hay limitación respecto del uso que asegure que se usen sólo para lo que fueron capturados esos datos.
  6. El periodo de retención, de como mínimo 6 meses, no hace distinción entre tipos de datos o categoría de los mismos.
  7. Este periodo tampoco está fijado por criterios objetivos en orden a conseguir lo necesario con la mínima injerencia.
  8. No se fijan reglas claras que limiten la injerencia en la privacidad y los derechos de las personas a lo estrictamente necesario.
  9. No se dan garantías de que los datos retenidos no van a ser mal utilizados ni de cómo se pretende garantizar su integridad y confidencialidad.

Es decir, que aunque la herramienta es válida, en su formulación actual es desproporcionada.

Esta sentencia no tiene, por ahora, consecuencias inmediatas, ya que cada país traspone las normativas comunitarias a su propio sistema legal, con lo que mientras no se hagan las adaptaciones pertinentes, se seguirá aplicando igual.

Otra cosa es que a partir de la sentencia del TJUE se empiecen a plantear recursos en según qué casos, incluso en casos ya cerrados, y que el Gobierno de España tendrá que tener mucho cuidad con lo que hace con la reforma de la Ley de Propiedad Intelectual en la que pretenden ampliar los supuestos en los que se puede acceder a los datos de los usuarios.

Todo esto lo cuenta, y de ahí lo he sacado, con mucho más detalle y conocimiento David Maeztu en Bases de la anulación de la Directiva de Conservación de Datos por el TJUE y Efectos prácticos de la anulación de la Directiva de Retención de Datos.

¿Cuán único es tu navegador web?

Panopticlick

Panopticklick examina los datos que tu navegador envía a un sitio web cualquiera para calcular un especie de huella digital y cuántos bits de información pueden inferirse a partir de ellos. Es una forma de rastrearte a través de Internet.

Entre otros detalles se incluyen las cookies, la zona horaria definida en tu ordenador, las tipografías instaladas en tu sistema, el tamaño de tu pantalla y sobre todo el agente de usuario (tipo y versión de navegador), los módulos instalados, los tipos de datos que puede aceptar…

En resumen: que con cada detalle que revela tu navegador se puede calcular –más o menos– cuántos otros navegadores similares hay en el mundo con las mismas características. Hasta que quedan pocos, muy pocos o nada más que el tuyo. ¡Gotcha!

En resumen: aunque no uses JavaScript, aunque no uses cookies… tu navegador sigue siendo perfectamente identificable.

Este experimento-demostración práctica promovida por la EFF es más viejo que el tebeo y aunque existe desde 2010 [PDF] sigue funcionando tan «estupendamente» como el primer día.

Réplicas de la máquina Enigma como proyecto de hacking casero

Open-Engima

The Open Enigma Project es una educativa forma de entender las máquinas Enigma y aprender algo de matemáticas, criptografía e historia, construyendo una desde cero.

La máquina utiliza cables, leds y muchos interruptores; su núcleo es una placa de Arduino pero el sistema de cifrado y descifrado es exactamente el mismo que en las máquinas alemanas de la II Guerra Mundial. Sin duda como proyecto de hacking tiene un encanto especial.

Actualmente está en Kickstarter buscando financiación colectiva; por unos 100 euros se pueden recibir todos los componentes necesarios para crear una totalmente funcional, a la par que elegante. Dado que ya llevan unos 15.000 dólares de los 20.000 necesarios y queda un mes parece claro que conseguirán sacarlo adelante.

(Vía Hacked Gadgets.)

Anteriormente, en la categoría Seguridad