En esta entrega nos centramos en dos
elementos: Heartbleed, un problema de tal calibre que saltó a los
medios de comunicación no especializados y Windows XP, donde hacemos un repaso a la situación actual del sistema operativo de Microsoft que recientemente ha quedado fuera de soporte.
Heartbleed
Heartbleed es un serio problema de
seguridad (catastrófico según Bruce Schneier (1)) que permite a un
atacante el acceso a la memoria de la víctima (2). Ésta última
puede ser tanto un servidor web como un cliente y la vulnerabilidad
se da cuando cualquiera de ellos está ejecutando las versiones
1.0.1f o 1.0.2-beta1 de OpenSSL (3).
El problema sale a la luz en abril de
este 2014 (4) y enseguida aparecen versiones actualizadas del
software vulnerable. A pesar de ello, a principios de mayo eran
todavía más de 300.000 los servidores no parcheados (5), a lo que
se añade la imposibilidad de saber si el problema estaba siendo
aprovechado antes de que saliera a la luz, dado que el ataque no deja
rastro (6).
El hecho de que el atacante tenga
acceso a la memoria y que todo lo que procesa un ordenador tenga
obligatoriamente que pasar por ella, supone que la cantidad de datos
que el atacante puede obtener es muy variada: contraseñas, nombres
de usuario, certificados incluyendo claves privadas, números de
tarjetas, cookies, etc, etc. (7)
Respecto a qué hacer, depende de
nuestro papel en Internet. El usuario medio no administra un servidor
web y utiliza Windows, por lo que su único riesgo es que sus
contraseñas hayan sido comprometidas en los servidores que visita.
Es por ello que, tras comprobar que dichos servidores ya no
son vulnerables (5), el usuario debería cambiar sus contraseñas
(7).
En cuanto a los servidores, se debe
actualizar el software vulnerable, generar nuevos certificados con
nuevas claves y revocar los antiguos para que no puedan seguir siendo
utilizados (8).
Los usuarios de Linux con una versión
vulnerable de OpenSSL y los que en su dispositivo llevan Android
4.1.1 Jelly Bean deben actualizar su sistema (9). Esto último puede
no ser tan sencillo porque normalmente dependemos del fabricante del
smartphone o tablet.
Windows XP
En el informe de seguridad de Marzo de
2014 explicábamos la situación en la que quedaba Windows XP (11)
una vez que finalizase su soporte por parte de Microsoft. Es
precisamente en este mes cuando Microsoft ha publicado el primer
boletín de seguridad en el que Windows XP queda fuera (12). Aunque a
día de hoy no conocemos todavía malware que aproveche en XP las
vulnerabilidades corregidas en los sistemas operativos de Microsoft
más recientes, es de suponer que la ingeniería inversa aplicada a
las actualizaciones publicadas dará lugar pronto al citado malware.
Estaremos atentos.
En el departamento de Informática del
IEFPS Elorrieta-Erreka Mari estamos en plena ejecución del plan de
actualización a Windows 7 que el equipo de IC proponía en el
informe de marzo (11).
A pesar de todos los argumentos en
contra de seguir utilizando Windows XP (13), en algunos casos, sobre
todo en entornos empresariales y a menudo relacionados con una
aplicación clave en la empresa, es posible que la migración a un
sistema más nuevo no sea posible y se tenga que mantener XP. Para
estos casos es conveniente seguir una serie de consejos (14, 15, 16).
Y, para finalizar, comentar que es
posible seguir actualizando Windows XP. Ello es debido a que una
versión especial de XP, Windows XP Embedded, utilizada para hacer
funcionar muchos dispositivos que no son estrictamente ordenadores
(cajeros automáticos, surtidores, puntos de venta, etc.) (17), va a
seguir recibiendo actualizaciones. Ello hace posible que, mediante un
cambio en el registro (18), podemos hacer que nuestro Windows XP
“diga” que es la versión Embedded y reciba los parches. El
“truco” tiene sus riesgos y Microsoft, como era de esperar,
advierte de ello (19).
No hay comentarios:
Publicar un comentario