De acuerdo a las revelaciones la falla ha sido descubierta en uno de los métodos de cifrado de claves de Internet. El martes por la tarde, muchas organizaciones estaban prestando atención a la advertencia, informa en New York Times.
El diario newyorkino informa que empresas como Lastpass, el administrador de contraseñas, y Tumblr, la red social propiedad de Yahoo, emitieron correcciones y advirtieron a los usuarios que sustituyan inmediatamente sus nombres de usuario y contraseñas.
Se explicó que la vulnerabilidad implica un grave error en el OpenSSL, la tecnología que impulsa el cifrado de dos tercios de los servidores web.
El desperfecto fue revelado el lunes por un equipo de investigadores de seguridad finlandeses que trabajan para Codenomicon, una empresa de seguridad en Saratoga, California, y dos ingenieros de seguridad de Google.
Informaron que el fallo permite que los atacantes tengan acceso a la memoria en cualquier OpenSSL servidor web en funcionamiento y tomar la información como nombres de usuario y contraseñas de los clientes, datos bancarios confidenciales, secretos comerciales y las claves de cifrado privadas que las organizaciones utilizan para comunicarse en privado con sus clientes.
Lo que hace que esta situación particularmente grave es que puede ser utilizado por un atacante sin dejar huellas.
"Es un grave error en el que no deja ningún rastro", dijo David Chartier, el jefe del Ejecutivo en Codenomicon. "Los chicos malos pueden tener acceso a la memoria en una máquina y tener las claves de cifrado, nombres de usuario, contraseñas, valiosa propiedad intelectual, y no hay ningún rastro que han estado allí."
Tres investigadores de seguridad en las oficinas de Codenomicon en Oulu, Finlandia, descubrió por primera vez el virus el jueves pasado. Los investigadores, Antti Karjalainen, Riku Hietamäki y Matti Kamunen, alertaron de inmediato a la autoridad finlandesa que se encarga de forma responsable que revelan errores de seguridad, informa el Newy York Times, Al final resultó que, un investigador de seguridad de Google, Neel Mehta, también había descubierto el error y el equipo de seguridad de Google ha estado trabajando en una solución.
El diario informa que este lunes, el equipo de código abierto que supervisa OpenSSL emitió una advertencia a las personas y organizaciones sobre el insecto, y animó a las personas que utilicen la biblioteca OpenSSL para actualizar a la última versión, que soluciona el problema.
Los investigadores de seguridad dicen que es imposible saber con seguridad si un atacante utiliza el error de robar información de la víctima, pero no encontraron evidencia que sugiere atacantes eran conscientes del error y habían estado explotando ella. Investigadores de monitoreo diferentes "honeypots" - alijos de datos falsos en la web destinado a atraer a los piratas informáticos para que los investigadores pueden aprender más acerca de sus herramientas y técnicas - encontraron evidencia de que los atacantes habían utilizado el bug Heartbleed acceder a los datos falsos.
Pero las víctimas reales no están de suerte. "A menos que un atacante que chantajea, o publica su información en línea, o roba un secreto comercial y lo utiliza, no se sabe si ha sido comprometida," dijo el Sr. Chartier. "Eso es lo que hace tan vicioso."
Los investigadores de seguridad están advirtiendo a las organizaciones a obtener nuevas claves de cifrado privada lo más rápido posible, y advirtiendo a la gente a empezar a cambiar sus nombres de usuario y contraseñas de inmediato, sobre todo para las cuentas sensibles como la banca en línea, correo electrónico, almacenamiento de archivos y cuentas de e-commerce.
Fuente: editor@diariodigitalrd.com
No hay comentarios:
Publicar un comentario