Aitor Carbajo
A principios de esta semana en la que nos encontramos saltó la noticia y sus consecuencias pueden ser muy importantes para la seguridad de cualquiera en Internet. Se había descubierto un hueco de seguridad en el protocolo SSL. ¿Que qué es SSL? Pues para aquellos que no lo sepan y estén acostumbrados a realizar pagos o cobros a través de Internet, es el protocolo que se utiliza en la amplia mayoría de transacciones en la Web.
Este protocolo es incluso utilizado entre los bancos para cifrar las comunicaciones con sus clientes. Explicado grosso modo (de manera muy esquemática) podríamos decir que es un Internet dentro del propio Internet, ya que es un canal aparte que se utilizan para recibir las autorizaciones pertinentes de nuestro banco cuando queremos realizar una transacción electrónica. Si eres usuario de OS X o de iOS, puedes estar tranquilo (en parte) ya que Apple asegura no ser vulnerable de ninguna manera en sus principales servicios de estos sistemas.
Realmente hay poco que nosotros, como usuarios, podamos hacer ante este hueco de seguridad, ya que no se trata de un problema que se encuentre en nuestros equipos, sino que se trata de una "puerta abierta" en los servidores que utilizan este protocolo para realizar conexiones "seguras" (ya no tanto) Es un problema que afecta probablemente a más de un 60 por ciento de Internet y que esperemos que pronto se encuentre la solución ya que podríamos ver información muy sensible comprometida.
Al menos nos queda el pequeño consuelo de que tanto los sistemas operativos de Apple como sus principales servicios Web no se ven afectados por este hueco de seguridad. Esperemos que pronto veamos como se resuelve para alivio de todos.
En Applesfera | Seguridad en iOS Vía | MacRumors
Ver 46 comentarios
46 comentarios
adli
No suelo escribir en applesfera, a pesar de que algunas de las cosas que se publican son cuestionables pero esto ya ralla en la falta de profesionalidad.
El Bug Heartbleed, es un bug DEL LADO DEL SERVIDOR en el que el cliente no interfiere para nada, sea iPhone, Mac, Windows, Linux o cualquier otro. Es decir, el atacante, para poder acceder a los certificados y al par de claves privada / pública hace el ataque CONTRA EL SERVIDOR.
Esto significa que por mucho que quiera maquillarlo Apple o el propio Aitor Carbajo, si eres usuario de OS X o iOS debes preocuparte igual que si lo eres de Windows o de Linux, debes preocuparte, porque no estás seguro.
Da igual la implementación de SSL que use Apple, porque si la que usa el Servidor al que te conectas está comprometido podrán obtener la información, aunque utilices SSL por señales de humo.
Dejad de malinformar a la gente, y más cuando la seguridad de cosas tan importantes como sus ahorros está en juego.
rick_alanis
El error del HeartBeat aparece en las versiones de OpenSSL 1.0.1 hasta 1.0.1f; la versión 1.0.1g ya tiene corregido el problema. Versiones anteriores (1.0.0 o 0.9.8, ambas muy populares) no lo tienen.
El problema parece que no se corrige sólo con cambiar de versión, pues se han generado certificados de doble llave (llave privada y llave pública, llamados x509) que llevan heredado el problema. Así que tendrán que generarse nuevos certificados para los clientes (nosotros) si se han generado con OpenSSL.
La versión que incluye Apple en Mac OS 10.8 Mountain Lion es la 0.9.8y del 5 de febrero de 2013.
En Mavericks, Apple ya no utiliza para nada de su seguridad el OpenSSL, sino sus propias herramientas, por lo que, aunque incluye el OpenSSL en la implementación (como cualquier Unix que se respete), el sistema operativo no las usa.
Esta es la principal razón por la que Apple o sus sistemas operativos no conllevan esta vulnerabilidad.
Fuente: http://heartbleed.com
Saludos
eclipsnet1
En palabras que todos entendamos, mi pareja, móvil android usa su cuenta de Google para varios servicios en la nube y tal... Puede alguien acceder a sus contraseñas y sus datos entre otros?
Ahora yo iOS en mi terminal uso iCloud ¿pueden ver mi contraseña y por tanto acceder a mis archivos? Y por último, usar en iOS otros servicios fuera de la jurisdicción de Apple ¿dropbox, gdrive, banco! Twitter...? Supongo que a menos famoso, menos ingresos o en otras palabras más anónimo seas, más seguro estarás, no?
En fin no tengo una cuenta famosa de Youtube, no soy importante y tengo apenas 60€ en el banco, de la cual la contraseña solo sirve para ver movimientos y no para transacciones.
bade45
Al final el mejor gestor de contraseñas será una buena libreta y dejarse de tonterías.
freedom_speech
nose nose
sinnombre.sinapellid
Yo voy a hacer una pregunta, quizás tonta por no ser experto en el tema.
EL problema viene por algo llamado Open SSL... Que es software libre, vale ¿porqué grandes y poderosas empresas como google usan software libre como ese (conste que ni entiendo lo que hace) y no desarrollan el suyo mismo o usan alguno de pago que sea mejor?
blackbyte
Por lo que lei esta falla solo es aplicable a sistemas operativos impuros como linux o windows.