Este documento describe el bug Heartbleed, una vulnerabilidad de seguridad en la biblioteca OpenSSL que permite a los atacantes robar datos confidenciales como claves privadas SSL. Explica cómo funciona la extensión Heartbeat de TLS/SSL y cómo el bug permite leer la memoria de servidores y clientes. También lista sitios web y software afectados, e insta a las personas a probar su vulnerabilidad y actualizar OpenSSL.
2. Agenda
● Conceptualizacion: http/https, ssl/tls,
heartbeat, openssl.
● Infografía: https/tls, https/tls con
heartbeat
● Que es HeartBleed?
● Infografía: HeartBleed
● Sitios Web y Software Afectado
● Como enfrentar a HeartBleed
3. Conceptualizacion: HTTP vs HTTPS
● Una conexión HTTP simple es una serie de interacciones no
relacionadas. Su navegador solicita datos desde el sitio, el sitio
devuelve esos datos, y eso es todo, hasta la próxima petición.
● Cuando se conecta con un sitio web seguro (HTTPS), hay una
especie de apretón de manos para configurar la sesión segura. El
navegador solicita el certificado del sitio, el servidor lo envía y este
se verifica, obteniéndose la clave pública del sitio y generándose
una clave de cifrado(privada) para la sesión segura, y lo envia al
servidor del sitio, donde se descifra la clave privada y se inicia la
sesión.
●
5. Conceptualizacion: SSL / TLS
● Secure Sockets Layer (SSL; en español «capa de conexión
segura») y su sucesor Transport Layer Security (TLS; en español
«seguridad de la capa de transporte») son protocolos
criptográficos que proporcionan comunicaciones seguras por una
red, comúnmente Internet.
●
6. Conceptualizacion: Extensión HeartBeat
● La extensión Heartbeat para los protocolos Transport Layer
Security (TLS) y Datagram Transport Layer Security (DTLS) se
propuso como un estándar en febrero del 2012 por el RFC
6520.2 Esto provee una forma de probar y mantener viva un
enlace de comunicación segura sin la necesidad de
renegociar la conexión cada vez..
●
7. Conceptualizacion: OpenSSL
● OpenSSL es un proyecto de software
libre basado en SSLeay, desarrollado
por Eric Young y Tim Hudson.
● Consiste en un robusto paquete de
herramientas de administración y
bibliotecas relacionadas con la
criptografía, que suministran funciones
criptográficas a otros paquetes como
OpenSSH y navegadores web (para
acceso seguro a sitios HTTPS).
● Estas herramientas ayudan al sistema a
implementar el Secure Sockets Layer
(SSL), así como otros protocolos
relacionados con la seguridad, como el
Transport Layer Security (TLS)..
●
11. Que es HeartBleed?
● Heartbleed (español: hemorragia de
corazón) es un agujero de seguridad
(bug) de software en la biblioteca de
código abierto OpenSSL, solo vulnerable
en su versión 1.0.1f, que permite a un
atacante leer la memoria de un servidor
o un cliente, permitiéndole por ejemplo,
conseguir las claves privadas SSL de un
servidor.
● Se reporta el primer caso entre el 1 al 3
de Abril de 2014.
17. Como enfrentar a HeartBleed
● Realizar el Test Online de HeartBleed,
https://filippo.io/Heartbleed/
● Demo Live en:
https://www.youtube.com/watch?v=iNQuMG6hdzE
●
http://billatnapier.wordpress.com/2014/04/15/real-life-demo-of-th
e-heartbleed-vulnerability/