wiki:heartbleed.Es

Version 2 (modified by https://id.mayfirst.org/analia, 10 years ago) (diff)

--

En otros idiomas:

Vulnerabilidad “Corazón sangrante” (Heart Bleed)

Estimados/as miembros de Primero de Mayo/Enlace del Pueblo:

Se descubrió una vulnerabildiad grave en el software de encriptación más popular de internet que afectó a 2/3 de los sitios web, entre ellos los sitios de varios de nuestros miembros.

El equipo de apoyo, infraestructura y soberanía de datos de PM/EP trabajó duro para resolver este problema. Luego de 24 horas del anuncio público estamos orgullosos de comunicarles que hemos actualizado todos nuestros servidores (a algunos de ellos pudimos reinciarlos en la mañana del 9 de abril).

Lamentablemente, la actualización el software de los servidores no es suficiente. Les recomendamos efusivamente que cambien las claves que venían usando en los servidores de Primero de Mayo/Enlace del Pueblo.

Además necesitamos la colaboración adicional de las personas que administran sitios web que usan https, crearon una clave “ssl” propia y compraron su propio certificado, para así poder ayudarlos a proteger íntegramente a todos los servidores. A continuación les explicamos por qué:

En el período durante el cual nuestros servidores se encontraron en estado de vulnerabilidad existe la posibilidad de que alguien haya accedido al tráfico de su sitio para alterar la clave que encripta el tráfico. Si su clave se vio comprometida, solucionar el problema técnico no es suficiente: es necesario generar una nueva clave y y obtener un nuevo certificado x509.

Resumen de las acciones a tomar

¿Qué tengo que hacer?

  • Recomendamos que todos los/as miembros/as de Primero de Mayo/Enlace del Pueblo cambien las contraseñas en este sitio: https://members.mayfirst.org/changepass
  • Les pedimos que tengan cuidado con los ataques de phishing (robo de identidad)! No escriban sus contraseñas en sitios que no tengan un ícono de candado (o comienza con https) y terminen en mayfirst.org. En las próximas semanas pueden recibir mensajes de correo electrónico que advierten sobre este problema y les piden que escriban sus contraseñas en sitios web ilegítimos. Por favor, revisen cuidadosamente la dirección de cualquier sitio que pida la contraseña de mayfirst.org.
  • Si tienen un sitio web que utiliza https y han adquirido un certificado, por favor generen una nueva clave y obtengan un nuevo certificado.

Preguntas

¿Cómo genero una nueva clave?

Las instrucciones sobre la generación de claves y obtención de certificadas se encuentran en nuestro wiki wiki page on generating keys and obtaining certificates.

¿Durante cuánto tiempo nuestros servidores estuvieron vulnerables a ataques?

La vulnerabilidad existe desde hace dos años. Sin embargo, la mayoría de nuestros servidores estuvieron vulnerables durante un período mucho más corto. Setenta y seis servidores PM/EP se vieron afectados por este error. Un puñado de ellos ha estado vulnerable entre dos meses y un año, aproximadamente la mitad han estado vulnerables durante cinco semanas, y la otra mitad por menos de una semana.

¿Tengo que generar una nueva clave?

Recomendamos efusivamente que lo hagan. Sin embargo, es su decisión y ustedes puede considerar que no vale la pena el esfuerzo. La vulnerabilidad permitió que un eventual atacante leyera la memoria utilizada por el servidor web. Si nadie trató de acceder al servidor en el que funciona su sitio web durante el periodo en el que el servidor estuvo vulnerable no hay razón para generar una nueva clave o estar preocupado porque los datos hayan sido alterados. Por otro lado, si alguien trató de acceder a cualquier sitio web en su servidor (incluso si no es su propio sitio web), sus datos pueden haber sido alterados. Es fácil escribir un programa sencillo para explorar páginas web y detectar esta vulnerabilidad y es probable que algunas personas supieran sobre el problema antes de que se convirtiera en público.

Notas e información adicional

De acuerdo con el sitio heartbleed openssl es la biblioteca de encriptación más popular. También Arstechnica estima es utilizada por 2/3 a todos los sitios web.

Más información: