El dilluns 7 d'abril es va trobar una vulnerabilitat important coneguda com "Heartbleed" a la popular biblioteca criptogràfica OpenSSL, que s'utilitza àmpliament amb aplicacions i servidors web. Per tant, els llocs i serveis d'Internet estan ocupats a corregir aquesta vulnerabilitat i actualitzar els certificats SSL per protegir els seus clients. Com s'ha dit, OpenSSL v1.0.1 a 1.0.1f (inclosos) són vulnerables i OpenSSL 1.0.1g llançat el 7 d'abril de 2014 soluciona aquest error.
Un fragment de Heartbleed.com diu,
L'error Heartbleed és una vulnerabilitat greu de la popular biblioteca de programari criptogràfic OpenSSL. Aquesta debilitat permet robar la informació protegida, en condicions normals, pel xifratge SSL/TLS utilitzat per protegir Internet. SSL/TLS proporciona seguretat de comunicacions i privadesa a Internet per a aplicacions com ara web, correu electrònic, missatgeria instantània (IM) i algunes xarxes privades virtuals (VPN).
L'error Heartbleed permet a qualsevol persona a Internet llegir la memòria dels sistemes protegits per les versions vulnerables del programari OpenSSL. Això permet als atacants escoltar les comunicacions, robar dades directament dels serveis i usuaris i suplantar la identitat de serveis i usuaris.
Comproveu si el vostre lloc o telèfon Android està afectat per un error d'Heartbleed –
Hi ha alguns serveis que us poden dir si el lloc al qual heu confiat la vostra informació era o encara és vulnerable i quan es va actualitzar el seu certificat.
Test Heartbleed de Filippo Valsorda - filippo.io/Heartbleed
Introduïu un URL o un nom d'amfitrió per provar el vostre servidor per a Heartbleed (CVE-2014-0160). Podeu especificar un port com aquest exemple.com:4433
. 443 per defecte.
Verificador de LastPass Heartbleed: lastpass.com/heartbleed
Comproveu si un lloc és vulnerable a Heartbleed. Mostra el programari del servidor del lloc, indica si era vulnerable i si el certificat SSL ara està segur i quan es van crear per última vegada.
Chromebleed (extensió de Google Chrome)
Mostra un avís si el lloc on estàs navegant està afectat per un error d'Heartbleed. Comprova l'URL de la pàgina mitjançant el servei de Filippo. Útil si no voleu consultar els llocs manualment.
Mashable ha complert una llista interessant de llocs coneguts indicant el seu estat actual, com si estaven afectats i si hauríeu de canviar la vostra contrasenya.
Heartbleed Detector per a Android -
Els usuaris d'Android poden comprovar fàcilment si el seu dispositiu Android és vulnerable a l'error HeartBleed amb una aplicació gratuïta anomenada "Heartbleed Detector" de Lookout Mobile Security. L'aplicació determina quina versió d'OpenSSL utilitza el vostre dispositiu. Si el vostre dispositiu està executant una de les versions d'OpenSSL afectades, comprovarà si el comportament vulnerable específic està activat o no.
Tanmateix, si el vostre dispositiu és vulnerable, no podeu fer cap acció necessària, tret que Google o el fabricant del vostre dispositiu hagi publicat un pedaç.
Etiquetes: AndroidSecurity