EVALUACIÓN DESDE LA ÓPTICA DE LA COMPUTACIÓN FORENSE DEL BUG OPENSSL - HEARTBLEED

  • John Alexander Rico Franco Corporación Universitaria Republicana

Resumen

En abril de 2014, se desvelo por parte de la comunidad especialista en seguridad informática, un fallo que afectaba a una de las librerías criptográficas primordiales en la protección de datos en Internet tal como lo es OpenSSL y debido a la popularidad de esta librería se estipula que este fallo conocido como Heartbleed, llego posiblemente a afectar al 66% de servidores de servicios web implementados en toda la Internet, esto debido al hecho de la implementación
implícita de OpenSSL en aplicaciones libres tan importantes y que manejan datos sensibles de los usuarios, tales como lo son Apache, Dropbox, Gmail, Minecraft, MySQL, OpenVPN y Ubuntu1.


El presente documento busca presentar los conceptos y conclusiones que han sido resultado de un proyecto de investigación basado en estudiar algunos de los más interesantes aspectos concernientes a la falencia Heartbleed, desde su identificación, características, técnicas de aprovechamiento por parte de los delincuentes informáticos y medidas prácticas de mitigación; buscando así lograr dar una visión panorámica de esta catastrófica vulnerabilidad, que aunque esta ha sido ampliamente discutida y documentada en toda Europa, Asia y Estados Unidos, cabe resaltar que en Colombia y en varios países de sur y centroamérica esta alerta paso bastante desapercibida por la gran mayoría de los usuarios de dichos servicios comprometidos; por ende otra finalidad de este documento es aparte de presentar al bug Heartbleed es el de generar conciencia en cualquier profesional de la ingeniería de sistemas y a cualquier lector interesado, de que siempre existe la posibilidad de la existencia de otros fallos de igual o mayor magnitud sobre la protección de información en la Internet, puesto que una de las principales ventajas que tienen los delincuentes es la desinformación por parte de las personas sin altos conocimientos en sistemas y que utilizan la totalidad de los beneficios aportados por los distintos servicios desplegados en la Internet y que por ende muy posiblemente fueron víctimas directas en este desafortunado incidente computacional.

Biografía del autor/a

John Alexander Rico Franco, Corporación Universitaria Republicana

Ingeniero de Sistemas - Especialista en Seguridad de Redes de la Universidad Católica de Colombia, con más de 7 años de experiencia como consultor independiente en proyectos referentes a temas de seguridad informática, criptografía y realización de pruebas de calidad de software. Catedrático Universitario y Docente Investigador del Grupo de Investigación y Desarrollo de Ingeniería de Sistemas (G.I.D.I.S) de la Corporación Universitaria Republicana.

Citas

H. Kelly; « The ‘Heartbleed’ security flaw that affects most of the Internet»; Documento WEB; [http://edition.cnn.com/2014/04/08/tech/web/heartbleed-openssl/].

A. Freier; P. Karlton y P. Kocher; « The Secure Sockets Layer (SSL) Protocol»; RFC 6101; Documento WEB [https://tools.ietf.org/html/rfc6101]; 2011.

T. Dierks y E. Rescorla; « The Transport Layer Security (TLS) Protocol»; RFC 5246; Documento WEB;[https://tools.ietf.org/html/rfc5246]; 2008.

R. Seggelmann; M. Tuexen y M. Williams; «Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension»; RFC 6520; Documento WEB; [https://tools.ietf.org/html/ rfc6520]; 2012.

B. Chandra; « A technical view of the OpenSSL Heartbleed vulnerability»; Documento WEB - PDF; [http://ibm.biz/dwsecurity].

T. Mpofu, N. Elisa y N. Gati; « The Heartbleed Bug: An Open Secure Sockets Layer Vulnerability»; Documento WEB - PDF;[http://www.ijsr.net/archive/v3i6/MDIwMTQ0ODk=.pdf]

Iupati Tumaalii; « Heartbleed — What’s the big fuss?»; Documento WEB - PDF; [http://www.aarnet.edu.au/images/uploads/resources/AARNet_Whitepaper_Heartbleed_06_2014.pdf].

Varios; « The Heartbleed Hit List: The Passwords You Need to Change Right Now»; Documento WEB;[http://mashable.com/2014/04/09/heartbleedbug-websites -affected/].

J. Pagliery; « Heartbleed bug affects gadgets everywhere»; Documento WEB; [http://money. cnn.com/2014/04/11/technology/security/heartbleedgear/].

Accuvant Labs; « Heartbleed Bug Advisory (CVE-2014-0160)»;

Documento WEB - PDF; [http://accuvantstorage.blob.core.windows.net/web/file/2016b4dc040c49ee991b5721e0dd62b3/HeartBleed-Bug-CVE-2014-0160-release.pdf].

D. Dieterle; « Basic Security Testing with Kali Linux»; Editorial: CreateSpace Independent Publishing Platform; 2014.

G. Lyon; « Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning»; Editorial: Nmap Project; 2009.

D. Kennedy, J. O’Gorman y D. Kearns; « Metasploit: The Penetration Tester’s Guide»; Editorial: No Starch Press; 2011.

BIBLIOGRAFÍA

A. Johns; « Mastering Wireless Penetration Testing for Highly-Secured Environments»; Editorial: Packt Publishing; 2015.

D. Stuttard y M. Pinto; « The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws»; Editorial: Wiley; 2011.

G. Weidman; « Penetration Testing: A Hands-On Introduction to Hacking»; Editorial: No Starch Press; 2014.

I. Ristic; « Bulletproof SSL and TLS: Understanding and Deploying SSL/TLS and PKI to Secure Servers and Web Applications»; Editorial: Feisty Duck; 2014.

P. Kim; « The Hacker Playbook: Practical Guide To Penetration Testing»; Editorial: CreateSpace Independent Publishing Platform; 2014.

T. Wilhelm; « Professional Penetration Testing: Creating and Learning in a Hacking Lab»; Editorial: Syngress; 2013.

INFOGRAFÍA

J. Pagliery; «Don’t assume you’re safe from Heartbleed»; Documento WEB; [http://money.cnn.com/2014/04/24/technology/security/heartbleedsecurity/].

M. Ward; « Heartbleed bug creates confusion online»; Documento WEB; [http://www.bbc.com/news/technology-26971363].

S. Curtis; « ‘Heartbleed’ bug in web technologythreatens user data»; Documento WEB; [http://www.telegraph.co.uk/technology/internet-security/10754169/Heartbleed-bug-in-web-technology-threatensuser-data.html].

U.S. Department of homeland security; « ‘NCCIC – Heartbleed OpenSSL Vulnerability»; Documento WEB- PDF; [https://www.us-cert.gov/sites/ default/files/publications/Heartbleed%20Open SSL%20

Vulnerability_0.pdf].0

Publicado
2016-02-18
Cómo citar
[1]
J. Rico Franco, EVALUACIÓN DESDE LA ÓPTICA DE LA COMPUTACIÓN FORENSE DEL BUG OPENSSL - HEARTBLEED, RIMCI, vol. 2, n.º 4, feb. 2016.