La seguretat és una cosa que sempre s'ha posat i es posarà en dubte . I no és estrany , en realitat , ja que la veritat és que es juga amb tantes variables , que mai se sap quan alguna d'elles pot fallar . És el que ha passat amb OpenSSL , i el que ha donat vida a Heartbleed , una fallada de seguretat de increïbles dimensions .
Quin és el perill ?
Per culpa d' Heartbleed , un error de seguretat de què parlarem més endavant , s'ha pogut tenir accés a tota la informació emmagatzemada en els serveis web d'Internet . Concretament , parlem dels més importants , tots aquells que utilitzen OpenSSL , que serien un 56 % de tots els llocs web mundials . I quan parlem de tota la informació emmagatzemada parlem de noms d'usuaris, contrasenyes , comptes bancaris , correus electrònics , i tot el que s'emmagatzema en un servidor .
Per què ha passat això?
OpenSSL és un sistema de criptografia que utilitzen una immensa quantitat de llocs web a tot el món . Segur que a molts us sona el cadenat que apareix a la barra de navegació quan esteu en una pàgina web . Sempre se suggereix , com a mesura de seguretat , que quan estiguem comprant en una botiga , o al web del banc , aquest cadenat estigui present , ja que indica que la transferència de dades està xifrada . Es xifra en molts casos, el 56% de les webs del món segons algunes dades , utilitzant OpenSSL , el sistema de criptografia de què parlem .
Aquest sistema és de codi obert , i és mantingut per desenvolupadors que pertanyen a algunes de les empreses de seguretat més importants del món , són desenvolupadors d'alt nivell . No obstant això , en algun moment fa dos anys , un d'ells va introduir per error un fragment de codi erroni , del qual ningú s'ha adonat fins ara . Aquest codi estava relacionat amb l'opció " heartbeat " , d'aquí el nom . Aquesta funció genera una mena de batec que permet sincronitzar els diferents serveis d'un servei en línia . L'error en aquesta funció permetia a qualsevol fer una crida al servidor , i rebre una porció d'informació de 64 Kbytes . Què significa això ? Que qualsevol pot descarregar dades de qualsevol web sense que hi hagi seguretat cap . Bàsicament , és com permetre a un lladre entrar a casa només 30 segons. No pot buidar la casa d'una sola vegada , però si pot entrar les vegades que vulgui, amb la porta oberta , al final pot portar tot el que vulgui . Doncs això és el que passa amb Heartbleed .
La seguretat, insegura
Un dels grans problemes d'aquest error de seguretat és que no es troba en un simple servei normal i corrent , sinó que és un error de seguretat que es troba en un sistema que , en teoria , serveix per augmentar la seguretat dels usuaris . Allò que havia de donar confiança als usuaris , ha estat el que ha posat en joc la seguretat dels mateixos . Quan un està en una botiga en línia, i veu la icona de transferència de dades xifrada , creu que està segur , però la veritat és que ha estat tot el contrari.
A qui afecta ?
Llocs web com Google , i fins i tot entitats bancàries espanyoles , han estat afectats per aquest error . El més probable és que tinguem un compte en algun lloc que compti amb OpenSSL . I si teníem la mateixa contrasenya que tenim al banc? I si algú té ja la nostra contrasenya ?
El problema està ja solucionat ?
Sí, i no . El problema de seguretat en el sistema OpenSSL ha estat solucionat . Enginyers de Google i Codenomicon es van adonar de l'error de seguretat , i en lloc de publicar-lo, ho van comunicar als responsables , els qui ho van solucionar amb un pegat . Ara, tots els serveis web poden posar pegats el seu sistema OpenSSL i comptar amb un lloc web molt més segur . No obstant això , aquest error de seguretat ha estat present durant dos anys . Es creu que ningú sabia de la seva existència fins ara , però si algú ho sabia i no ho ha dit , pot portar molt de temps robant diners o recollint dades d'accés a comptes . Encara que les webs ara siguin segures , de res ens val si algú té la nostra contrasenya.
Què pot fer cada usuari ?
Per això , els llocs web que ja han solucionat el problema recomanen als usuaris canviar totes les seves contrasenyes . No obstant això , no és recomanable canviar-les totes si hi ha llocs web que encara no hagin pedaç el problema . La solució més recomanable és canviar les contrasenyes i utilitzar una única per a cada servei . Això en aquest mateix moment . D'aquí a un parell de setmanes , realitzar el mateix procés , canviant de nou les contrasenyes . I en un mes , tornar a canviar contrasenyes de nou. Amb contrasenyes úniques per a cada servei estem augmentant la seguretat , i ens assegurem que si alguna d'aquestes contrasenyes és coneguda , els altres llocs web en els quals estem registrats no estiguin compromesos .
Cap comentari:
Publica un comentari a l'entrada