Evaluación desde la óptica de la computación forense del bug openssl - heartbleed

• Rico Franco, John Alexander ^[1]
  1. [1] Corporación Universitaria Republicana

     Corporación Universitaria Republicana

     Colombia

     
• Localización: Revista Ingeniería, Matemáticas y Ciencias de la Información, ISSN-e 2357-3716, Vol. 2, Nº. 4, 2015 (Ejemplar dedicado a: REVISTA INGENIERÍA, MATEMÁTICAS Y CIENCIAS DE LA INFORMACIÓN), págs. 97-106
• Idioma: español
• Enlaces
  • Texto completo (pdf)
• Resumen
  • español

    En abril de 2014, se desvelo por parte de la comunidad especialista en seguridad informática, un fallo que afectaba a una de las librerías criptográficas primordiales en la protección de datos en Internet tal como lo es OpenSSL y debido a la popularidad de esta librería se estipula que este fallo conocido como Heartbleed, llego posiblemente a afectar al 66% de servidores de servicios web implementados en toda la Internet, esto debido al hecho de la implementaciónimplícita de OpenSSL en aplicaciones libres tan importantes y que manejan datos sensibles de los usuarios, tales como lo son Apache, Dropbox, Gmail, Minecraft, MySQL, OpenVPN y Ubuntu1.El presente documento busca presentar los conceptos y conclusiones que han sido resultado de un proyecto de investigación basado en estudiar algunos de los más interesantes aspectos concernientes a la falencia Heartbleed, desde su identificación, características, técnicas de aprovechamiento por parte de los delincuentes informáticos y medidas prácticas de mitigación; buscando así lograr dar una visión panorámica de esta catastrófica vulnerabilidad, que aunque esta ha sido ampliamente discutida y documentada en toda Europa, Asia y Estados Unidos, cabe resaltar que en Colombia y en varios países de sur y centroamérica esta alerta paso bastante desapercibida por la gran mayoría de los usuarios de dichos servicios comprometidos; por ende otra finalidad de este documento es aparte de presentar al bug Heartbleed es el de generar conciencia en cualquier profesional de la ingeniería de sistemas y a cualquier lector interesado, de que siempre existe la posibilidad de la existencia de otros fallos de igual o mayor magnitud sobre la protección de información en la Internet, puesto que una de las principales ventajas que tienen los delincuentes es la desinformación por parte de las personas sin altos conocimientos en sistemas y que utilizan la totalidad de los beneficios aportados por los distintos servicios desplegados en la Internet y que por ende muy posiblemente fueron víctimas directas en este desafortunado incidente computacional.

  • English

    In April of 2014 the community of computer security specialists centralized on the study of vulnerabilities over theInternet find out a catastrophic bug in OpenSSL library, this is one of the most used cryptographic libraries for the dataprotection over TCP/IP networks; this bug was called Heartbleed and it’s estimated that error harm over the 66% of thelive web servers implemented in the Internet, adove the active time of the Heartbleed, and all this happened because theimplicit use of the OpenSSL over critical applications like Apache, Dropbox, Gmail, Minecraft, MySQL, OpenVPN,Ubuntu and YouTube The following paper intends to exhibit the concepts and conclusions which are the result of a research project of the mostinteresting aspects concerning the Heartbleed bug, this study covers the identification of the error, their characteristics,harvesting techniques used by the hackers in the active time of the bug and some mitigation measures; all this aims togenerate a local overview of this major failure because in Europe, Asia and the United States this flaw was highlydocumented and socialized but in Colombia and several other countries in Central and South America this warning wentunnoticed by the vast majority of users of those influenced web services and it ́s because of this scene I don’t want onlysubmit to the facts of the Heartbleed bug, I intend revive the discussion of that sensitive issue and raise awareness of thereader about the possibility of the existence of other problems of equal or greater magnitude in the protection ofsensitive data in networks TCP/IP and so reduce one of the greatest tools in the arsenal of the informatic offenders whichis the misinformation and ignorance on these sensitive issues by millions of potential victims all over the Internet