Han pasado dos meses desde que el bug Heartbleed desató una estampida para parchar el software en todas partes, desde los equipos de red hasta el software de seguridad, hasta que muy rápidamente se hizo evidente que las versiones vulnerables del código de encriptación de OpenSSL habían sido ampliamente desplegadas.
Heartbleed, que permitía a un atacante inteligente capturar contraseñas o certificados digitales, fue reportado el 7 de abril por el Grupo OpenSSL, impactando a un estimado del 60% de los servidores en todo el mundo … y mucho más. ¿Pero fue la catástrofe que algunos temían?
Hasta ahora, las consecuencias parecen decir que no, aunque algunos piensan que solucionar las intromisiones causadas por Heartbleed no es tan fácil. A lo sumo, Heartbleed ha sido un gran inconveniente en todos lados, ya que como las contraseñas y certificados tuvieron que ser cambiados, la operación se convirtió en una maratón de parches en todo el mundo.
“Terminó siendo no tan fácil de explotar”, señala Bruce Schneier, CTO de CO3 Systems. Schneier es un experto en cifrado que definió inicialmente a Heartbleed como un evento “catastrófico”, debido al uso generalizado de OpenSSL. “Vimos que algunos hackers y delincuentes lo usan, pero no tanto”.
Pero la conmoción causada por Heartbleed -un error de codificación hecho hace dos años, al parecer por un desarrollador de software alemán que se adelantó en admitir el error- fue absolutamente enorme, cuando una amplia franja de la industria de redes y seguridad descubrió, después de incontables horas de investigación de sus propios productos, que las versiones vulnerables a Heartbleed de OpenSSL a menudo estaban incrustadas en ellos. Pero no todas las versiones de OpenSSL eran vulnerables.
Los equipos de respuesta a incidentes de Cisco han determinado que aproximadamente unos “359 productos y servicios de Cisco utilizan OpenSSL o una variante relacionada”, según el portavoz de Cisco, Nigel Glennie. “281 de ellos han sido confirmados como no afectados por la vulnerabilidad, y 78 confirmados como afectados. De ellos, 41 ya están parchados”.
Desde el 9 de abril, Cisco ha realizado 19 revisiones sobre Heartbleed a su departamento de Security Advisor. Cisco le está entregando a sus clientes el documento “El bug Heartbleed: Guía de evaluación”, una referencia de seis páginas que explica la naturaleza del problema de OpenSSL y cómo remediarlo.
“Todo el mundo estaba usando OpenSSL”, señala Gil Friedrich, vicepresidente de tecnología de ForeScout Technologies, quien dice haber resuelto su propio problema de productos con Heartbleed en las primeras 24 horas después de que se diera a conocer. El ejecutivo afirma que ForeScout también ayudó a los clientes bancarios, gracias al análisis de los productos que utilizan en sus redes para OpenSSL.
A mediados de abril, Mandiant, ahora parte de FireEye, dijo que los piratas informáticos entraron en la red de un cliente debido a Heartbleed. Hubo algunos otros informes sueltos sobre problemas con Heartbleed, como cuando la Canadian Revenue Agency cerró temporalmente su página web en abril, en medio de la temporada de declaración de impuestos, después de que un hacker irrumpió en ella y robó 900 números de seguro social.
Pero muchos en la industria de la seguridad, opinan que los ataques que explotan la falla Heartbleed, no han sido muy comunes.
“Usted no ve muchas hazañas al respecto”, señala Jim Walter, director de investigación de amenazas avanzadas en Intel Security (el nuevo nombre que recibió McAfee tras ser adquirida por Intel). “Teníamos solo un puñado de informes acerca de las violaciones de datos”.
Walter agrega que una explicación es que Heartbleed, que permite a un atacante inteligente arrebatar 56K de datos de la memoria, no es la mejor manera de ir a Internet y robar cosas. “Usted no tiene control de todo lo que recibe”, señaló. “Hay maneras más fáciles de hacer las cosas”.
Symantec tampoco vio ninguna evidencia de ataques en masa generalizada, pero el experto en seguridad de Symantec, Kevin Hayley, señala que este tipo de ataque “requiere mirar a un archivo de registro”, para encontrar evidencia del mismo en contra de su empresa.
En cuanto a los ataques basados en Heartbleed, “definitivamente hemos visto esto como una prueba de concepto”, anota Hugh Thompson, jefe de estrategias de seguridad y vicepresidente senior de Blue Coat, quien tiene un dispositivo de visibilidad SSL que puede romper el tráfico SSL para inspeccionarlo. Él dice que los ataques de Heartbleed pueden ser difíciles de identificar, ya que pueden parecerse a una transacción web extraña. “Esto sí es duro”, agrega.
El CTO de CrowdStrike, Dmitri Alperovitch, señala que Heartbleed ha sido “desagradable”, solo si, como mínimo, las empresas y los individuos tuvieron que reemplazar la totalidad de sus claves privadas y cambiar las contraseñas que puedan haber estado expuestas en los sistemas vulnerables a Heartbleed. El especialista agrega que han habido ataques dirigidos para aprovechar la vulnerabilidad de Heartbleed para “secuestrar” sesiones usuarios VPN para tener acceso a los bienes internos de la empresa.
“Aprovechar Heartbleed no es extremadamente difícil”, señala Alperovitch. “Si bien es cierto que cada solicitud de Heartbleed recibe hasta 64 KB de datos de la memoria, las peticiones se pueden lanzar varias veces para recuperar más datos en forma automatizada. Se ha demostrado que un ataque a un servidor web para recuperar claves privadas SSL se puede hacer en menos de 10 horas”.
¿Hay razón para sentir frustración con el proceso de desarrollo del código de fuente abierto después Heartbleed?
“El código fuente abierto no es malo”, anota Walter. El código abierto “ha fomentado una gran parte del desarrollo y la creatividad” en la codificación, y la mayoría de los productos en el mercado hoy en día lo utilizan.
Sin embargo, el impacto de Heartbleed, ha llevado a varios de los pesos pesados de la industria a unirse para iniciar lo que llaman Core Infrastructure Initiative de la Fundación Linux. Este proyecto de varios millones de dólares, que tiene el apoyo de Amazon Web Services, Cisco, Dell, Rackspace, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, VMware y la Fundación Linux, ha sido creado para ayudar a financiar “a los principales desarrolladores y otros recursos” para la mejora de la seguridad del código abierto, con OpenSSL estipulado como el primer proyecto .
“Es una gran idea”, señala Schneier, expresando que se está involucrando con el proyecto. “Definitivamente necesitamos más coordinación para hacer revisiones de seguridad en el software de código abierto. El versus entre el código cerrado y el código abierto se ha caracterizado como un versus entre los modelos de catedral y bazar. Resulta que, hasta el modelo bazar puede usar un poco del catedral”, anota.
– Ellen Messmer, Network World (EE.UU.)