Apenas 30 mil de 500 mil certificados SSL afectados porHeartbleed se han vuelto a emitir, demostrando que hay miles de servicios, webs y sistemas supuestamente seguros que siguen vulnerables al bug que afecta a la librería OpenSSL, de acuerdo a una observación y análisis hecho por Netcraft.
Menos certificados aún han sido anulados, lo cual dejaría abierto a futuros ataques de suplantación ya que las llaves privadas del certificado usado podrían haber sido obtenidas aprovechándose del bug. En caso de no anular certificados da igual que se actualice a la última versión de OpenSSLL si el atacante tiene acceso a dichas llaves privadas.
¿Por qué? Aún teniendo re-emitiendo certificados, aún actualizando a últimas versiones que ya no sufren del Heartbleed, un atacante podría usar las llaves privadas para crear su propio certificado SSL válido y tener acceso por medio de un ataque conocido como Man-in-the-middle.
De acuerdo a Netcraft, algunas de las webs más conocidas que ya han revocado o re-remitido sus certificados SSL son Yahoo, Adobe, CloudFlare, DuckDuckGo, GitHub, Reddit , Launchpad, PayPal, Netflix y el servicio Cloudfront de Amazon.
En definitiva: re-emitir es el primer paso pero no suficiente. Anular certificados y crear nuevos es vital para realmente rodear el hueco de seguridad causado por Heartbleed. Aún así no es suficiente y parte del problema no está del lado de los servidores o por parte del usuario, también hay problemas en los navegadores.
Los navegadores web manejan la anulación de certificados de muy mala manera
Aún revocando, aún cambiando contraseñas, aún tomando acciones por parte de millones de administradores de servidores, no parece ser suficiente para acabar con Heartbleed. Resulta que los navegadores web no manejan de las mejores formas la anulación de certificados SSL. Los usuarios más frecuentes podrían seguir usando certificados caducados durante semanas o meses sin notificación alguna de problemas. Es una situación ideal para crear ataques Man-in-the-middle presentando un certificado falso a usuarios con el navegador comportándose como si se estuviera conectando a la web legítima.
No hay comentarios:
Publicar un comentario