Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

10 abril 2014

OpenSSL Heartbleed (what I know about it)


Como me han pedido que haga un recopilatorio de toda información interesante que ha ido apareciendo sobre el OpenSSL Heartbleed, lo voy a poner aquí también, para compartirlo.

La lista no es exhaustiva y pido de antemano disculpas por las omisiones. Pero es para los jefes y no quería sobrecargarlos. Si hay algo importante que creais que falta os ruego, por favor, que me lo digais. Muchas gracias a todos por contribuir a hacer de internet un lugar más seguro. :)

Una semana después (lo mejor que he leído al respecto):
http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/heartbleed_desmitificado

Explicación sencilla para Pennies
http://www.rtve.es/noticias/20140410/heartbleed-nombre-del-fallo-seguridad-mas-impresionante-historia-internet/915342 (vía @microsiervos)


http://blog.kaspersky.es/vulnerabilidad-heartbleed/

http://www.elmundo.es/tecnologia/2014/04/11/5347b72122601d9f7f8b4570.html por @dipudaswani)

Qué contraseñas tengo que cambiar (vía ):
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/#:eyJzIjoidCIsImkiOiJfNG83NnpvYndub2F5ZmljZSJ9 

Cómo saber si tu servidor es vulnerable (vía @raulsiles):
En la siguiente página: http://filippo.io/Heartbleed/ 
 openssl s_client -connect google\.com:443 -tlsextdebug 2>&1| grep 'server extension "heartbeat" (id=15)' || echo safe

Para mirar los procesos que siguen con la lib antigua vulnerable (vía Nico Castellano en la Lista RootedCon):
lsof -n | grep ssl | grep DEL

Comprueba también los clientes (vía @raulsiles):

Para saber si te están intentando atacar (vía @Miguel_Arroyo76):

Explicaciones en los foros: 
http://krebsonsecurity.com/2014/04/heartbleed-bug-exposes-passwords-web-site-encryption-keys/
http://www.flu-project.com/2014/04/heartbleed-metasploit-y-otra-sangria-en.html?spref=tw

En los CERT:

Detalles sobre la vulnerabilidad:

Explicación técnica para dummies (contribución de @YJesus):
 - ¿Aún estás ahí?
 - Sí. Y mi número pin secreto es el 3344.

En imágenes (vía @javitobal & @angealbertini)

Enlace permanente de imagen incrustada

¿Qué otros servicios pueden estar (o haber estado) afectados?:
Lista completa: 

Fabricantes: 


Móviles con Android 4.1.1. (vía @raulsiles): 



Actualizado:
Más remedios antisangrado (vía @raulsiles, @lowk3y y @1zn0g0ud):
iptables: 
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \ "52=0x18030000:0x1803FFFF" -j DROP

tshark: tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type
snort: http://vrt-blog.snort.org/2014/04/heartbleed-memory-disclosure-upgrade.html
masscan: http://blog.erratasec.com/2014/04/using-masscan-to-scan-for-heartbleed.html?m=1


4 comentarios:

  1. Hola, al intentar acceder a https://www.twitter.com me aparece esto:

    "www.twitter.com utiliza normalmente la encriptación (SSL) para proteger la información. Cuando Chrome ha intentado establecer conexión con www.twitter.com, www.twitter.com ha devuelto inusuales e incorrectas. Por tanto, es posible que un atacante esté intentando suplantar la identidad de www.twitter.com o que una pantalla de inicio de sesión Wi-Fi haya interrumpido la conexión. Tu información sigue estando protegida ya que Chrome detuvo la conexión antes de que se llevara a cabo cualquier intercambio de datos.
    Los ataques y errores de red suelen ser temporales, así que es probable que esta página funcione más adelante. También puedes probar a utilizar otra red.
    Información técnica: Chrome no puede utilizar el certificado que ha recibido durante este intento de conexión para proteger tu información porque el formato del certificado no es correcto.
    Tipo de error: Malformed certificate
    Destinatario: twitter.com
    Emisor: VeriSign Class 3 Extended Validation SSL CA
    Hashes de clave pública: sha1/FXnwvO30nbpcJgjDK6bH+rGSqEo=
    sha256/qaKZwjzvNNGAc/ryUbwfqL2oArYbz4OPU22TnZ8MxNc=
    sha1/rkrX+bOA4RKTMrtS3loJDFlbM9a=
    sha256/OTV6OSADZrQuFMltaBc+5XvltK1Ljeify/yvlthNjvM=
    sha1/sYEIGhmkwJQf+uiVKMEkyZs0rMc=
    shae256/JbQbUG5JMJUol6brnx0x3vZF6jilxsapbXGVfjhN8Fg="

    ¿Está esto relacionado con el heartbleed? ¿Qué debería hacer?

    ResponderEliminar
  2. Hay más gente a la que le pasa: amadigital.mx/blog/twitter-pudo-ser-atacado-por-heartbleed.html
    Sin embargo, el test lo da como bueno: http://filippo.io/Heartbleed/#www.twitter.com
    Mashable dice que no está claro: http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/#:eyJzIjoidCIsImkiOiJfNG83NnpvYndub2F5ZmljZSJ9

    Mi consejo:
    Mira a ver qué versión tienes de Chrome: (escribe en la barra de navegación chrome://version/). Y si no es la última (34.0.1847.116), actualiza . Borra la caché.

    También hay quien dice que tiene que ver con el uso que hace Chrome de los certificados de Windows y que se soluciona actualizándolos. (Copio de https://productforums.google.com/forum/#!topic/chrome/RR5LoFJBcX4):

    "That seems to be the core of the problem, as I mentioned above, Google Chrome is using just a wrapper that calls Windows certificate stores.
    Just follow the instructions on the page - http://support.microsoft.com/kb/931125 and USE Internet Explorer to run the .exe file - it's called "rootsupd.exe" - install it, close the browser (IE), restart Chrome, too, and you should be able to log in Twitter."

    A ver si con eso te funciona.
    Estate atento a las redes y si, en algún momento Twitter dijera que ha sido afectado y que lo ha solucionado, cambia tu contraseña. Si no está afectado, no hace falta cambiarla. Y si lo está, no sirve de nada hacerlo mientras no lo arreglen.
    Espero que te sirva :)

    ResponderEliminar
    Respuestas
    1. Pues es bastante inquietante, lo mejor es cambiar las contraseñas... pero claro! se supone que habrán parcheado ya... no?

      Eliminar
    2. Sí, claro. Se supone que ya ha parcheado todos los sitios afectados. Por eso mismo hay que cambiar las contraseñas, una vez solucionada la vulnerabilidad. En caso de haber entrado mientras el sitio todavía era vulnerable, existe la posibilidad de que alguien haya efectuado un ataque para robárnoslas.
      Twitter parece que no lo ha estado, según las últimas noticias: http://visual.ly/heartbleed-checklist

      Eliminar

A penny for your thoughts