Heartbleed fue un error de seguridad en la biblioteca de criptografía OpenSSL , que es una implementación ampliamente utilizada del protocolo Transport Layer Security (TLS). Se introdujo en el software en 2012 y se dio a conocer públicamente en abril de 2014. Heartbleed podría explotarse independientemente de si la instancia vulnerable de OpenSSL se ejecuta como un servidor TLS o un cliente. Fue el resultado de una validación de entrada incorrecta (debido a una verificación de límites faltantes ) en la implementación de la extensión de latido de TLS . [3] Por lo tanto, el nombre del error deriva del latido del corazón . [4] La vulnerabilidad se clasificó como una lectura excesiva del búfer., [5] una situación en la que se pueden leer más datos de los que deberían permitirse. [6]
Identificador (es) CVE | CVE-2014-0160 |
---|---|
Liberado | 1 de febrero de 2012 |
Fecha descubierta | 1 de abril de 2014 |
Fecha parcheada | 7 de abril de 2014 |
Descubridor | Neel Mehta |
Software afectado | OpenSSL (1.0.1) |
Sitio web | heartbleed |
Heartbleed se registró en la base de datos de vulnerabilidades y exposiciones comunes como CVE - 2014-0160 . [5] El Centro de Respuesta a Incidentes Cibernéticos de Canadá federal emitió un boletín de seguridad para advertir a los administradores del sistema sobre el error. [7] El 7 de abril de 2014 se lanzó una versión fija de OpenSSL, el mismo día en que se dio a conocer públicamente Heartbleed. [8]
Los administradores de sistemas solían ser lentos para parchear sus sistemas. Al 20 de mayo de 2014 [actualizar], el 1,5% de los 800.000 sitios web habilitados para TLS más populares seguían siendo vulnerables a Heartbleed. [9] Al 21 de junio de 2014 [actualizar], 309.197 servidores web públicos seguían siendo vulnerables. [10] Al 23 de enero de 2017 [actualizar], según un informe [11] de Shodan , casi 180.000 dispositivos conectados a Internet seguían siendo vulnerables. [12] [13] Al 6 de julio de 2017 [actualizar], el número se había reducido a 144.000, según una búsqueda en shodan.io de "vuln: cve-2014-0160". [14] Al 11 de julio de 2019 [actualizar], Shodan informó [15] que 91.063 dispositivos eran vulnerables. Estados Unidos fue el primero con 21,258 (23%), los 10 primeros países tenían 56,537 (62%) y los países restantes tenían 34,526 (38%). El informe también desglosó los dispositivos en otras 10 categorías, como organización (las 3 principales fueron compañías inalámbricas), producto (Apache httpd, nginx) o servicio (https, 81%).
Las implementaciones de TLS distintas de OpenSSL, como GnuTLS , los servicios de seguridad de red de Mozilla y la implementación de TLS en la plataforma Windows , no se vieron afectadas porque el defecto existía en la implementación de TLS de OpenSSL en lugar del protocolo en sí. [dieciséis]
Historia
Los protocolos Heartbeat Extension para Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) fueron propuestos como estándar en febrero de 2012 por RFC 6520 . [17] Proporciona una forma de probar y mantener activos enlaces de comunicación seguros sin la necesidad de renegociar la conexión cada vez. En 2011, uno de los autores del RFC, Robin Seggelmann, entonces Ph.D. estudiante de la Fachhochschule Münster , implementó Heartbeat Extension para OpenSSL. Tras la solicitud de Seggelmann de poner el resultado de su trabajo en OpenSSL, [18] [19] [20] su cambio fue revisado por Stephen N. Henson, uno de los cuatro desarrolladores principales de OpenSSL. Henson no advirtió un error en la implementación de Seggelmann e introdujo el código defectuoso en el repositorio de código fuente de OpenSSL el 31 de diciembre de 2011. El defecto se extendió con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. La compatibilidad con Heartbeat estaba habilitada de forma predeterminada, lo que provocó versiones afectadas para ser vulnerables. [21] [22]
Descubrimiento
Según Mark J. Cox de OpenSSL, Neel Mehta del equipo de seguridad de Google denunció en privado Heartbleed al equipo de OpenSSL el 1 de abril de 2014 a las 11:09 UTC. [23]
El error fue nombrado por un ingeniero de Synopsys Software Integrity Group, una empresa de ciberseguridad finlandesa que también creó el logotipo del corazón sangrante y lanzó el dominio heartbleed .com para explicar el error al público. [24] Si bien el equipo de seguridad de Google informó Heartbleed a OpenSSL primero, tanto Google como Codenomicon lo descubrieron de forma independiente aproximadamente al mismo tiempo. [25] [26] Codenomicon informa el 3 de abril de 2014 como su fecha de descubrimiento y su fecha de notificación al NCSC para la coordinación de vulnerabilidades. [27]
En el momento de la divulgación, se creía que alrededor del 17% (alrededor de medio millón) de los servidores web seguros de Internet certificados por autoridades confiables eran vulnerables al ataque, lo que permitía el robo de las claves privadas de los servidores y las cookies y contraseñas de sesión de los usuarios. [28] [29] [30] [31] [32] La Electronic Frontier Foundation , [33] Ars Technica , [34] y Bruce Schneier [35] consideraron que el error Heartbleed era "catastrófico". El columnista de seguridad cibernética de Forbes , Joseph Steinberg, escribió:
Algunos podrían argumentar que Heartbleed es la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que el tráfico comercial comenzó a fluir en Internet. [36]
Un portavoz del gabinete británico recomendó que:
Las personas deben recibir consejos sobre cómo cambiar las contraseñas de los sitios web que utilizan. La mayoría de los sitios web han corregido el error y son los más indicados para asesorar sobre las medidas que deben tomar las personas, si las hay. [37]
El día de la divulgación, The Tor Project aconsejó:
Si necesita un fuerte anonimato o privacidad en Internet, es posible que desee mantenerse alejado de Internet por completo durante los próximos días mientras las cosas se arreglan. [38]
El Sydney Morning Herald publicó una cronología del descubrimiento el 15 de abril de 2014, que muestra que algunas organizaciones habían podido corregir el error antes de su divulgación pública. En algunos casos, no está claro cómo se enteraron. [39]
Corrección de errores e implementación
Bodo Möller y Adam Langley de Google prepararon la solución para Heartbleed. El parche resultante se agregó al rastreador de problemas de Red Hat el 21 de marzo de 2014. [40] Stephen N. Henson aplicó la corrección al sistema de control de versiones de OpenSSL el 7 de abril. [41] La primera versión fija, 1.0.1g, se lanzó el mismo día. Al 21 de junio de 2014[actualizar], 309.197 servidores web públicos siguieron siendo vulnerables. [10] Al 23 de enero de 2017[actualizar], según un informe [11] de Shodan, casi 180.000 dispositivos conectados a Internet seguían siendo vulnerables. [12] [13] El número se redujo a 144.000 al 6 de julio de 2017[actualizar], según una búsqueda en shodan.io de "vuln: cve-2014-0160". [14]
Renovación y revocación de certificados
Según Netcraft , alrededor de 30.000 de los más de 500.000 certificados X.509 que podrían haberse visto comprometidos debido a Heartbleed se habían vuelto a emitir el 11 de abril de 2014, aunque se habían revocado menos. [42]
Para el 9 de mayo de 2014, solo el 43% de los sitios web afectados habían vuelto a emitir sus certificados de seguridad. Además, el 7% de los certificados de seguridad reemitidos utilizaron las claves potencialmente comprometidas. Netcraft declaró:
Al reutilizar la misma clave privada, un sitio que se vio afectado por el error Heartbleed aún enfrenta exactamente los mismos riesgos que aquellos que aún no han reemplazado sus certificados SSL . [43]
eWeek dijo: "Es probable que [Heartbleed] siga siendo un riesgo durante meses, si no años, por venir". [44]
Explotación
La Agencia Tributaria de Canadá denunció un robo de Números de Seguro Social pertenecientes a 900 contribuyentes, y dijo que se accedió a ellos a través de una explotación del error durante un período de 6 horas el 8 de abril de 2014. [45] Después del descubrimiento del ataque, el La agencia cerró su sitio web y extendió el plazo de presentación de impuestos del 30 de abril al 5 de mayo. [46] La agencia dijo que proporcionaría servicios de protección crediticia sin costo alguno para cualquier persona afectada. El 16 de abril, la RCMP anunció que había acusado a un estudiante de informática en relación con el robo de uso no autorizado de una computadora y travesuras en relación con los datos . [47] [48]
El sitio para padres del Reino Unido Mumsnet tuvo varias cuentas de usuario secuestradas y su director ejecutivo fue suplantado. [49] El sitio publicó más tarde una explicación del incidente diciendo que se debió a Heartbleed y el personal técnico lo parcheó de inmediato. [50]
Los investigadores de anti-malware también explotaron Heartbleed en su propio beneficio para acceder a foros secretos utilizados por los ciberdelincuentes. [51] Los estudios también se llevaron a cabo mediante la instalación deliberada de máquinas vulnerables. Por ejemplo, el 12 de abril de 2014, al menos dos investigadores independientes pudieron robar claves privadas de un servidor experimental configurado intencionalmente para ese propósito por CloudFlare . [52] [53] Además, el 15 de abril de 2014, J. Alex Halderman , profesor de la Universidad de Michigan , informó que su servidor honeypot , un servidor intencionalmente vulnerable diseñado para atraer ataques con el fin de estudiarlos, había recibido numerosos ataques originados de China. Halderman llegó a la conclusión de que, debido a que era un servidor bastante oscuro, estos ataques probablemente eran ataques radicales que afectaban a grandes áreas de Internet. [54]
En agosto de 2014, se hizo público que la vulnerabilidad Heartbleed permitió a los piratas informáticos robar claves de seguridad de Community Health Systems , la segunda cadena de hospitales con fines de lucro más grande de Estados Unidos en los Estados Unidos, comprometiendo la confidencialidad de 4.5 millones de registros de pacientes. La violación ocurrió una semana después de que Heartbleed se hiciera público por primera vez. [55]
Posible conocimiento previo y explotación
Muchos sitios web importantes corrigieron el error o deshabilitaron Heartbeat Extension pocos días después de su anuncio, [56] pero no está claro si los atacantes potenciales lo sabían antes y hasta qué punto fue explotado. [ cita requerida ]
Según los exámenes de los registros de auditoría por parte de los investigadores, se ha informado que algunos atacantes pueden haber aprovechado la falla durante al menos cinco meses antes del descubrimiento y el anuncio. [57] [58] Errata Security señaló que un programa no malicioso ampliamente utilizado llamado Masscan , introducido seis meses antes de la divulgación de Heartbleed, termina abruptamente la conexión en medio del protocolo de enlace de la misma manera que Heartbleed, generando los mismos mensajes de registro del servidor. , agregando "Dos cosas nuevas que producen los mismos mensajes de error pueden parecer que están correlacionadas, pero, por supuesto, no lo están. [59] "
Según Bloomberg News , dos fuentes internas anónimas le informaron que la Agencia de Seguridad Nacional de los Estados Unidos había estado al tanto de la falla desde poco después de su aparición pero, en lugar de informarla, la mantuvo en secreto entre otras vulnerabilidades de día cero no reportadas con el fin de explotarlo para los propios fines de la NSA. [60] [61] [62] La NSA ha negado esta afirmación, [63] al igual que Richard A. Clarke , miembro del Grupo de Revisión de Inteligencia Nacional sobre Tecnologías de Inteligencia y Comunicaciones que revisó la política de vigilancia electrónica de los Estados Unidos; dijo a Reuters el 11 de abril de 2014 que la NSA no sabía nada de Heartbleed. [64] La acusación llevó al gobierno estadounidense a hacer, por primera vez, una declaración pública sobre su política de vulnerabilidades de día cero, aceptando la recomendación del informe del grupo de revisión de 2013 que había afirmado "en casi todos los casos, para el código ampliamente utilizado , es de interés nacional eliminar las vulnerabilidades del software en lugar de usarlas para la recopilación de inteligencia de EE. UU. ", y dijo que la decisión de retener debe pasar de la NSA a la Casa Blanca. [sesenta y cinco]
Comportamiento
La RFC 6520 Heartbeat Extension prueba los enlaces de comunicación segura TLS / DTLS al permitir que una computadora en un extremo de una conexión envíe un mensaje Heartbeat Request , que consiste en una carga útil, generalmente una cadena de texto, junto con la longitud de la carga útil como un entero de 16 bits. . La computadora receptora debe enviar exactamente la misma carga útil al remitente. [ cita requerida ]
Las versiones afectadas de OpenSSL asignan un búfer de memoria para que el mensaje se devuelva en función del campo de longitud del mensaje solicitante, sin tener en cuenta el tamaño real de la carga útil de ese mensaje. Debido a esta falla en la verificación de límites adecuada , el mensaje devuelto consiste en la carga útil, posiblemente seguida de cualquier otra cosa que haya ocurrido en el búfer de memoria asignado. [ cita requerida ]
Por lo tanto, Heartbleed se explota enviando una solicitud de latido del corazón mal formada con una pequeña carga útil y un campo de gran longitud a la parte vulnerable (generalmente un servidor) para obtener la respuesta de la víctima, lo que permite a los atacantes leer hasta 64 kilobytes de la memoria de la víctima que probablemente era haber sido utilizado previamente por OpenSSL. [66] Donde una Solicitud de latido del corazón puede pedirle a una parte que "envíe de vuelta la palabra de cuatro letras 'pájaro'", lo que da como resultado una respuesta de "pájaro", una "Solicitud de hemorragia" (una solicitud de latido malicioso) de "enviar de vuelta el La palabra de 500 letras 'pájaro' "haría que la víctima devolviera" pájaro "seguido de los 496 caracteres posteriores que la víctima tuviera en la memoria activa. Los atacantes de esta manera podrían recibir datos sensibles, comprometiendo la confidencialidad de las comunicaciones de la víctima. Aunque un atacante tiene cierto control sobre el tamaño del bloque de memoria revelado, no tiene control sobre su ubicación y, por lo tanto, no puede elegir qué contenido se revela. [ cita requerida ]
Instalaciones de OpenSSL afectadas
Las versiones afectadas de OpenSSL son OpenSSL 1.0.1 a 1.0.1f (inclusive). Las versiones posteriores (1.0.1g [67] y posteriores) y las versiones anteriores (rama 1.0.0 y anteriores) no son vulnerables. [68] Las instalaciones de las versiones afectadas son vulnerables a menos que OpenSSL se haya compilado con -DOPENSSL_NO_HEARTBEATS . [69] [70]
Programa y función vulnerables
Los archivos fuente del programa vulnerable son t1_lib.cy d1_both.cy las funciones vulnerables son tls1_process_heartbeat () y dtls1_process_heartbeat (). [71] [72]
Parche
El problema se puede solucionar ignorando los mensajes Heartbeat Request que solicitan más datos de los que necesitan su carga útil.
La versión 1.0.1g de OpenSSL agrega algunas comprobaciones de límites para evitar que el búfer se lea en exceso. Por ejemplo, se introdujo la siguiente prueba para determinar si una solicitud de latido desencadenaría Heartbleed; descarta silenciosamente las solicitudes maliciosas.
si ( 1 + 2 + payload + 16 > s -> s3 -> rrec . length ) devuelve 0 ; / * descartar silenciosamente por RFC 6520 seg. 4 * /
El sistema de control de versiones de OpenSSL contiene una lista completa de cambios. [41]
Impacto
Los datos obtenidos por un ataque Heartbleed pueden incluir intercambios no cifrados entre partes de TLS que probablemente sean confidenciales, incluidos los datos de publicación de formularios en las solicitudes de los usuarios. Además, los datos confidenciales expuestos podrían incluir secretos de autenticación, como cookies de sesión y contraseñas, que podrían permitir a los atacantes hacerse pasar por un usuario del servicio. [73]
Un ataque también puede revelar claves privadas de las partes comprometidas, [21] [74] lo que permitiría a los atacantes descifrar las comunicaciones (tráfico almacenado pasado o futuro capturado a través de escuchas pasivas, a menos que se utilice un secreto directo perfecto , en cuyo caso solo se puede realizar el tráfico futuro). descifrado si es interceptado a través de ataques man-in-the-middle ). [ cita requerida ]
Un atacante que haya obtenido material de autenticación puede hacerse pasar por el propietario del material después de que la víctima haya parcheado Heartbleed, siempre que el material sea aceptado (por ejemplo, hasta que se cambie la contraseña o se revoque la clave privada). Heartbleed, por lo tanto, constituye una amenaza crítica para la confidencialidad. Sin embargo, un atacante que se haga pasar por una víctima también puede alterar los datos. De manera indirecta, las consecuencias de Heartbleed pueden ir mucho más allá de una violación de la confidencialidad para muchos sistemas. [75]
Una encuesta de adultos estadounidenses realizada en abril de 2014 mostró que el 60 por ciento había oído hablar de Heartbleed. Entre los que utilizan Internet, el 39 por ciento había protegido sus cuentas en línea, por ejemplo, cambiando contraseñas o cancelando cuentas; El 29 por ciento creía que su información personal estaba en riesgo debido al error Heartbleed; y el 6 por ciento creía que habían robado su información personal. [76]
Vulnerabilidad del lado del cliente
Aunque el error recibió más atención debido a la amenaza que representa para los servidores, [77] los clientes TLS que utilizan instancias OpenSSL afectadas también son vulnerables. En lo que The Guardian denominó Reverse Heartbleed , los servidores maliciosos pueden explotar Heartbleed para leer datos de la memoria de un cliente vulnerable. [78] El investigador de seguridad Steve Gibson dijo de Heartbleed que:
No es solo una vulnerabilidad del lado del servidor, también es una vulnerabilidad del lado del cliente porque el servidor, o con quien te conectes, es tan capaz de pedirte un latido como tú. [79]
Los datos robados pueden contener nombres de usuario y contraseñas. [80] Reverse Heartbleed afectó a millones de instancias de aplicaciones. [78] Algunas de las aplicaciones vulnerables se enumeran en la sección "Aplicaciones de software" a continuación . [ cita requerida ]
Sistemas específicos afectados
Cisco Systems ha identificado 78 de sus productos como vulnerables, incluidos los sistemas de telefonía IP y los sistemas de telepresencia (videoconferencia). [81]
Sitios web y otros servicios en línea
Un análisis publicado en GitHub de los sitios web más visitados el 8 de abril de 2014 reveló vulnerabilidades en sitios como Yahoo! , Imgur , Stack Overflow , Slate y DuckDuckGo . [82] [83] Los siguientes sitios tienen servicios afectados o hacen anuncios recomendando que los usuarios actualicen las contraseñas en respuesta al error:
- Tecnologías de Akamai [84]
- Servicios web de Amazon [85]
- Ars Technica [86]
- Bitbucket [87]
- BrandVerity [88]
- Freenode [89]
- GitHub [90]
- IFTTT [91]
- Archivo de Internet [92]
- Mojang [93]
- Mumsnet [49]
- PeerJ [94]
- Pinterest [95]
- Prezi [96]
- Reddit [97]
- Algo horrible [98]
- SoundCloud [99]
- SourceForge [100]
- SparkFun [101]
- Raya [102]
- Tumblr [103] [104]
- Todos los wikis de la Fundación Wikimedia (incluida Wikipedia en todos los idiomas) [105] [106]
- Wunderlist [107]
El gobierno federal canadiense cerró temporalmente los servicios en línea de la Agencia de Ingresos de Canadá (CRA) y varios departamentos gubernamentales por preocupaciones de seguridad de errores de Heartbleed. [108] [109] Antes de que se cerraran los servicios en línea de la CRA, un pirata informático obtuvo aproximadamente 900 números de seguro social . [110] [111] Otra agencia del gobierno canadiense, Statistics Canada , tuvo sus servidores comprometidos debido al error y también desconectó temporalmente sus servicios. [112]
Los mantenedores de plataformas como la Fundación Wikimedia aconsejaron a sus usuarios que cambiaran las contraseñas. [105]
Los servidores de LastPass eran vulnerables, [113] pero debido al cifrado adicional y al secreto de reenvío, los posibles ataques no pudieron aprovechar este error. Sin embargo, LastPass recomendó que sus usuarios cambien las contraseñas de los sitios web vulnerables. [114]
El Proyecto Tor recomendó que los operadores de relés Tor y los operadores de servicios ocultos revoquen y generen claves nuevas después de parchear OpenSSL, pero señaló que los relés Tor usan dos conjuntos de claves y que el diseño de múltiples saltos de Tor minimiza el impacto de explotar un solo relé. [38] 586 relés que posteriormente se descubrió que eran susceptibles al error Heartbleed fueron desconectados como medida de precaución. [115] [116] [117] [118]
Los servicios relacionados con el juego, incluidos Steam , Minecraft , Wargaming , League of Legends , GOG.com , Origin , Sony Online Entertainment , Humble Bundle y Path of Exile, se vieron afectados y posteriormente corregidos. [119]
Aplicaciones de software
Las aplicaciones de software vulnerables incluyen:
- Varias aplicaciones de servidor de Hewlett-Packard , como HP System Management Homepage (SMH) para Linux y Windows. [120]
- Algunas versiones de FileMaker 13 [121]
- LibreOffice 4.2.0 a 4.2.2 (corregido en 4.2.3) [122] [123]
- LogMeIn afirmó haber "actualizado muchos productos y partes de nuestros servicios que dependen de OpenSSL". [124]
- Múltiples productos de McAfee , en particular algunas versiones de software que brindan cobertura anti-viral para Microsoft Exchange, firewalls de software y McAfee Email and Web Gateways [125]
- Conector de Oracle MySQL / C 6.1.0-6.1.3 y conector / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2 [126]
- Dispositivo de Big Data de Oracle (incluye Oracle Linux 6) [126]
- Primavera P6 Professional Project Management (incluye Primavera P6 Enterprise Project Portfolio Management) [126]
- WinSCP (cliente FTP para Windows) 5.5.2 y algunas versiones anteriores (solo vulnerable con FTP sobre TLS / SSL, corregido en 5.5.3) [127]
- Varios productos de VMware , incluidos VMware ESXi 5.5, VMware Player 6.0, VMware Workstation 10 y la serie de productos Horizon, emuladores y paquetes de computación en la nube [128]
Varias otras aplicaciones de Oracle Corporation se vieron afectadas. [126]
Sistemas operativos / firmware
Varias distribuciones de Linux se vieron afectadas, incluidas Debian [129] (y derivados como Linux Mint y Ubuntu [130] ) y Red Hat Enterprise Linux [131] (y derivados como CentOS , [132] Oracle Linux 6 [126] y Amazon Linux [133] ), así como los siguientes sistemas operativos e implementaciones de firmware:
- Android 4.1.1, utilizado en varios dispositivos portátiles. [134] Chris Smith escribe en Boy Genius Report que solo esta versión de Android se ve afectada, pero que es una versión popular de Android ( Chitika afirma que 4.1.1 está en 50 millones de dispositivos; [135] Google lo describe como menos de 10 % de dispositivos Android activados). Otras versiones de Android no son vulnerables, ya que tienen los latidos desactivados o usan una versión no afectada de OpenSSL. [136] [137]
- Firmware para algunas estaciones base AirPort [138]
- Firmware para algunos routers de Cisco Systems [81] [139] [140]
- Firmware para algunos enrutadores de Juniper Networks [140] [141]
- pfSense 2.1.0 y 2.1.1 (corregido en 2.1.2) [142]
- Versiones de DD-WRT entre 19163 y 23881 (incluidas en 23882) [143]
- Firmware de la familia de productos Western Digital My Cloud [144]
Servicios de pruebas de vulnerabilidad
Se han puesto a disposición varios servicios para probar si Heartbleed afecta un sitio determinado. Sin embargo, se ha afirmado que muchos servicios son ineficaces para detectar el error. [145] Las herramientas disponibles incluyen:
- Tripwire SecureScan [146]
- AppCheck: escaneo binario estático y fuzzing, de Synopsys Software Integrity Group (anteriormente Codenomicon) [147]
- Pravail Security Analytics de Arbor Network [148]
- Herramienta Norton Safeweb Heartbleed Check [149]
- Herramienta de prueba Heartbleed de una empresa europea de seguridad informática [150]
- Prueba Heartbleed del criptógrafo italiano Filippo Valsorda [151]
- Prueba de vulnerabilidad Heartbleed de Cyberoam [152]
- Probador Heartbleed gratuito en línea de Critical Watch [153]
- Módulo de escáner Heartbleed Metasploit [154]
- Escáner de servidor Heartbleed de Rehmann [155]
- Lookout Mobile Security Heartbleed Detector, una aplicación para dispositivos Android que determina la versión OpenSSL del dispositivo e indica si el latido vulnerable está habilitado [156]
- Comprobador de Heartbleed alojado por LastPass [157]
- Escáner de rango de red en línea para la vulnerabilidad Heartbleed de Pentest-Tools.com [158]
- Escáner oficial sin conexión de Red Hat escrito en lenguaje Python [159]
- Prueba del servidor SSL de Qualys SSL Labs [160] que no solo busca el error Heartbleed, sino que también puede encontrar otros errores de implementación de SSL / TLS.
- Extensiones de navegador, como Chromebleed [161] y FoxBleed [162]
- Diagnóstico SSL [163]
- Escáner CrowdStrike Heartbleed [164] : escanea enrutadores, impresoras y otros dispositivos conectados dentro de una red, incluidos los sitios web de intranet. [165]
- Informe del sitio de Netcraft [166] : indica si la confidencialidad de un sitio web podría verse comprometida debido a una explotación pasada de Heartbleed al verificar los datos de la Encuesta SSL de Netcraft para determinar si un sitio ofrecía la Extensión TLS de latido antes de la divulgación de Heartbleed. Las extensiones de Netcraft para Chrome, Firefox y Opera [167] también realizan esta comprobación, mientras buscan certificados potencialmente comprometidos. [168]
Otras herramientas de seguridad han agregado soporte para encontrar este error. Por ejemplo, Tenable Network Security escribió un complemento para su escáner de vulnerabilidades Nessus que puede buscar esta falla. [169] El escáner de seguridad Nmap incluye un script de detección Heartbleed de la versión 6.45. [170]
Sourcefire ha publicado reglas de Snort para detectar el tráfico de ataques Heartbleed y el posible tráfico de respuesta Heartbleed. [171] El software de análisis de paquetes de código abierto, como Wireshark y tcpdump, puede identificar los paquetes Heartbleed utilizando filtros de paquetes BPF específicos que se pueden usar en capturas de paquetes almacenados o tráfico en vivo. [172]
Remediación
La vulnerabilidad a Heartbleed se resuelve actualizando OpenSSL a una versión parcheada (1.0.1g o posterior). OpenSSL se puede utilizar como un programa independiente, un objeto compartido dinámico o una biblioteca vinculada estáticamente ; por lo tanto, el proceso de actualización puede requerir reiniciar procesos cargados con una versión vulnerable de OpenSSL, así como volver a vincular programas y bibliotecas que lo vincularon estáticamente. En la práctica, esto significa actualizar los paquetes que vinculan OpenSSL de forma estática y reiniciar los programas en ejecución para eliminar la copia en memoria del código OpenSSL antiguo y vulnerable. [ cita requerida ]
Una vez que se corrige la vulnerabilidad, los administradores del servidor deben abordar la posible violación de la confidencialidad. Debido a que Heartbleed permitió a los atacantes revelar claves privadas , deben ser tratados como comprometidos; los pares de claves deben regenerarse y los certificados que los utilizan deben volver a emitirse; los certificados antiguos deben ser revocados . Heartbleed también tenía el potencial de permitir la revelación de otros secretos en la memoria; por lo tanto, también se debe volver a generar otro material de autenticación (como contraseñas ). Rara vez es posible confirmar que un sistema que se vio afectado no se ha visto comprometido, o determinar si se filtró una información específica. [173]
Dado que es difícil o imposible determinar cuándo una credencial podría haber sido comprometida y cómo podría haber sido utilizada por un atacante, ciertos sistemas pueden justificar un trabajo de corrección adicional incluso después de parchear la vulnerabilidad y reemplazar las credenciales. Por ejemplo, las firmas hechas por claves que estaban en uso con una versión vulnerable de OpenSSL bien podrían haber sido hechas por un atacante; esto plantea la posibilidad de que se haya violado la integridad y abre las firmas al repudio . La validación de firmas y la legitimidad de otras autenticaciones realizadas con una clave potencialmente comprometida (como el uso del certificado de cliente ) deben realizarse con respecto al sistema específico involucrado. [ cita requerida ]
Conciencia de revocación de certificados de seguridad del navegador
Dado que Heartbleed amenazó la privacidad de las claves privadas, los usuarios de un sitio web que se vio comprometido podrían continuar sufriendo los efectos de Heartbleed hasta que su navegador tenga conocimiento de la revocación del certificado o el certificado comprometido caduque. [174] Por esta razón, la reparación también depende de que los usuarios utilicen navegadores que tengan listas de revocación de certificados actualizadas (o soporte OCSP ) y revocaciones de certificados de honor. [ cita requerida ]
Causas fundamentales, posibles lecciones y reacciones
Aunque evaluar el costo total de Heartbleed es difícil, eWEEK estimó US $ 500 millones como punto de partida. [175]
El artículo de David A. Wheeler How to Prevent the next Heartbleed analiza por qué Heartbleed no se descubrió antes y sugiere varias técnicas que podrían haber llevado a una identificación más rápida, así como técnicas que podrían haber reducido su impacto. Según Wheeler, la técnica más eficiente que podría haber evitado Heartbleed es un conjunto de pruebas que realiza pruebas de robustez a fondo , es decir, prueba que las entradas no válidas causan fallas en lugar de éxitos. Wheeler destaca que un único conjunto de pruebas de uso general podría servir como base para todas las implementaciones de TLS. [176]
Según un artículo sobre The Conversation escrito por Robert Merkel, Heartbleed reveló una falla masiva en el análisis de riesgos . Merkel cree que OpenSSL le da más importancia al rendimiento que a la seguridad, lo que ya no tiene sentido en su opinión. Pero Merkel considera que no se debe culpar tanto a OpenSSL como a los usuarios de OpenSSL, que optaron por utilizar OpenSSL, sin financiar mejores auditorías y pruebas. Merkel explica que dos aspectos determinan el riesgo de que errores más similares provoquen vulnerabilidades. Uno, el código fuente de la biblioteca influye en el riesgo de escribir errores con tal impacto. En segundo lugar, los procesos de OpenSSL afectan las posibilidades de detectar errores rápidamente. En el primer aspecto, Merkel menciona el uso del lenguaje de programación C como un factor de riesgo que favoreció la aparición de Heartbleed, haciéndose eco del análisis de Wheeler. [176] [177]
En el mismo aspecto, Theo de Raadt , fundador y líder de los proyectos OpenBSD y OpenSSH , ha criticado a los desarrolladores de OpenSSL por escribir sus propias rutinas de administración de memoria y, por lo tanto, afirma, eludir las contramedidas de explotación de la biblioteca estándar de OpenBSD C , diciendo que "OpenSSL no es desarrollado por un equipo responsable. " [178] [179] Tras la divulgación de Heartbleed, los miembros del proyecto OpenBSD bifurcaron OpenSSL en LibreSSL . [180]
El autor del cambio que introdujo Heartbleed, Robin Seggelmann, [181] declaró que no había validado una variable que contenía una longitud y negó cualquier intención de presentar una implementación defectuosa. [18] Tras la revelación de Heartbleed, Seggelmann sugirió centrarse en el segundo aspecto, afirmando que OpenSSL no es revisado por suficientes personas. [182] Aunque el trabajo de Seggelmann fue revisado por un desarrollador central de OpenSSL, la revisión también tenía la intención de verificar mejoras funcionales, una situación que hace que las vulnerabilidades sean mucho más fáciles de pasar por alto. [176]
El desarrollador central de OpenSSL, Ben Laurie, afirmó que una auditoría de seguridad de OpenSSL habría detectado a Heartbleed. [183] El ingeniero de software John Walsh comentó:
Piénselo, OpenSSL solo tiene dos personas [a tiempo completo] para escribir, mantener, probar y revisar 500.000 líneas de código empresarial crítico. [184]
El presidente de la fundación OpenSSL, Steve Marquess, dijo: "El misterio no es que algunos voluntarios con exceso de trabajo hayan pasado por alto este error; el misterio es por qué no ha sucedido con más frecuencia". [184] David A. Wheeler describió las auditorías como una manera excelente de encontrar vulnerabilidades en casos típicos, pero señaló que "OpenSSL usa estructuras innecesariamente complejas, lo que dificulta la revisión tanto para humanos como para máquinas". El escribio:
Debería haber un esfuerzo continuo para simplificar el código, porque de lo contrario, el simple hecho de agregar capacidades aumentará lentamente la complejidad del software. El código debe refactorizarse con el tiempo para que sea simple y claro, no solo para agregar nuevas funciones constantemente. El objetivo debe ser un código que sea "obviamente correcto", a diferencia del código que es tan complicado que "no veo ningún problema". [176]
LibreSSL realizó una gran limpieza de código, eliminando más de 90,000 líneas de código C solo en su primera semana. [185]
Según el investigador de seguridad Dan Kaminsky , Heartbleed es una señal de un problema económico que debe solucionarse. Al ver el tiempo necesario para detectar este simple error en una función simple de una dependencia "crítica", Kaminsky teme numerosas vulnerabilidades futuras si no se hace nada. Cuando se descubrió Heartbleed, un puñado de voluntarios mantenía OpenSSL, de los cuales solo uno trabajaba a tiempo completo. [186] Las donaciones anuales al proyecto OpenSSL ascendían a unos 2.000 dólares estadounidenses. [187] El sitio web Heartbleed de Codenomicon recomendó donaciones de dinero al proyecto OpenSSL. [21] Después de enterarse de las donaciones durante los 2 o 3 días posteriores a la divulgación de Heartbleed por un total de US $ 841, Kaminsky comentó: "Estamos construyendo las tecnologías más importantes para la economía global en una infraestructura sorprendentemente insuficiente". [188] El desarrollador principal Ben Laurie ha calificado el proyecto como "completamente sin financiación". [187] Aunque la OpenSSL Software Foundation no tiene un programa de recompensas por errores , la iniciativa Internet Bug Bounty otorgó 15.000 dólares a Neel Mehta de Google, quien descubrió Heartbleed, por su divulgación responsable. [187]
Paul Chiusano sugirió que Heartbleed puede haber sido el resultado de una economía de software fallida. [189]
La respuesta colectiva de la industria a la crisis fue la Iniciativa de Infraestructura Central , un proyecto multimillonario anunciado por la Fundación Linux el 24 de abril de 2014 para proporcionar fondos a elementos críticos de la infraestructura de información global. [190] La iniciativa tiene como objetivo permitir que los desarrolladores principales trabajen a tiempo completo en sus proyectos y paguen auditorías de seguridad, infraestructura de hardware y software, viajes y otros gastos. [191] OpenSSL es un candidato para convertirse en el primer destinatario de la financiación de la iniciativa. [190]
Después del descubrimiento, Google estableció Project Zero, que tiene la tarea de encontrar vulnerabilidades de día cero para ayudar a proteger la Web y la sociedad. [192] [193]
Referencias
- ^ McKenzie, Patrick (9 de abril de 2014). "Lo que Heartbleed puede enseñar a la comunidad de OSS sobre marketing" . Kalzumeus . Archivado desde el original el 20 de diciembre de 2017 . Consultado el 8 de febrero de 2018 .
- ^ Biggs, John (9 de abril de 2014). "Heartbleed, el primer error de seguridad con un logotipo genial" . TechCrunch . Archivado desde el original el 11 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ "Aviso de seguridad - Vulnerabilidad Heartbleed de OpenSSL" . Cyberoam . 11 de abril de 2014. Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ Limer, Eric (9 de abril de 2014). "Cómo funciona Heartbleed: el código detrás de la pesadilla de seguridad de Internet" . Gizmodo . Archivado desde el original el 11 de noviembre de 2014 . Consultado el 24 de noviembre de 2014 .
- ^ a b "CVE-2014-0160" . Vulnerabilidades y exposiciones comunes . Inglete. Archivado desde el original el 24 de enero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ "CWE-126: Buffer Over-read (3.0)" . Vulnerabilidades y exposiciones comunes . Mitre . 18 de enero de 2018. Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ "AL14-005: Vulnerabilidad Heartbleed de OpenSSL" . Boletines de seguridad cibernética . Seguridad Pública de Canadá . 11 de abril de 2014. Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ "Agregar verificación de límites de extensión de latido" . git.openssl.org . OpenSSL . Consultado el 5 de marzo de 2019 .
- ^ Leyden, John (20 de mayo de 2014). "AVG en Heartbleed: Es peligroso ir solo. Toma esto (una herramienta AVG)" . El registro . Archivado desde el original el 23 de enero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ a b Graham, Robert (21 de junio de 2014). "300k servidores vulnerables a Heartbleed dos meses después" . Seguridad de erratas. Archivado desde el original el 23 de junio de 2014 . Consultado el 22 de junio de 2014 .
- ^ a b Shodan (23 de enero de 2017). "Informe Heartbleed (2017-01)" . shodan.io. Archivado desde el original el 23 de enero de 2017 . Consultado el 10 de julio de 2019 .
- ^ a b Schwartz, Mathew J. (30 de enero de 2017). "Heartbleed Lingers: casi 180.000 servidores aún vulnerables" . Seguridad de la información bancaria. Archivado desde el original el 11 de julio de 2019 . Consultado el 10 de julio de 2019 .
- ^ a b Mac Vittie, Lori (2 de febrero de 2017). "Recordatorio amistoso: la seguridad de las aplicaciones en la nube es su responsabilidad" . F5 Labs. Archivado desde el original el 11 de julio de 2019 . Consultado el 10 de julio de 2019 .
- ^ a b Carey, Patrick (10 de julio de 2017). "Acidez de Heartbleed: por qué una vulnerabilidad de 5 años sigue mordiendo" . El libro mayor de seguridad. Archivado desde el original el 11 de julio de 2019 . Consultado el 10 de julio de 2019 .
- ^ Shodan (11 de julio de 2019). "[2019] Informe Heartbleed" . Shodan . Archivado desde el original el 11 de julio de 2019 . Consultado el 11 de julio de 2019 .
- ^ Pretorius, Tracey (10 de abril de 2014). "Servicios de Microsoft no afectados por OpenSSL" Heartbleed "vulnerabilidad" . Microsoft . Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
- ^ Seggelmann, Robin; Tuexen, Michael; Williams, Michael (febrero de 2012). Extensión de latido de seguridad de la capa de transporte (TLS) y seguridad de la capa de transporte de datagramas (DTLS) . IETF . doi : 10.17487 / RFC6520 . ISSN 2070-1721 . RFC 6520 . Consultado el 8 de febrero de 2018 .
- ^ a b Grubb, Ben (11 de abril de 2014). "El hombre que introdujo una falla de seguridad grave 'Heartbleed' niega haberla insertado deliberadamente" . El Sydney Morning Herald .
- ^ "# 2658: [PATCH] Agregar latidos TLS / DTLS" . OpenSSL. 2011. Archivado desde el original el 8 de agosto de 2017 . Consultado el 13 de abril de 2014 .
- ^ "Conoce al hombre que creó el error que casi rompió Internet" . Globo y correo . 11 de abril de 2014. Archivado desde el original el 4 de enero de 2018 . Consultado el 27 de agosto de 2017 .
- ^ a b c "Error de Heartbleed" . 8 de abril de 2014. Archivado desde el original el 7 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ Goodin, Dan (8 de abril de 2014). "Error criptográfico crítico en OpenSSL abre dos tercios de la Web a la escucha" . Ars Technica . Archivado desde el original el 5 de julio de 2017 . Consultado el 14 de junio de 2017 .
- ^ "Mark J Cox - #Heartbleed" . Archivado desde el original el 16 de abril de 2014 . Consultado el 12 de abril de 2014 .
- ^ Dewey, Caitlin. "¿Por qué se llama 'Error Heartbleed'?" . Archivado desde el original el 9 de octubre de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ Lee, Timothy B. (10 de abril de 2014). "¿Quién descubrió la vulnerabilidad?" . Vox . Archivado desde el original el 5 de diciembre de 2017 . Consultado el 4 de diciembre de 2017 .
- ^ Lee, Ariana (13 de abril de 2014). "Cómo Codenomicon encontró el error Heartbleed que ahora plaga Internet" . Leer y escribir . Archivado desde el original el 5 de septiembre de 2017 . Consultado el 4 de diciembre de 2017 .
Heartbleed, descubierto de forma independiente por el ingeniero de Google Neel Mehta y la firma de seguridad finlandesa Codenomicon, ha sido llamado "uno de los problemas de seguridad más graves que jamás haya afectado a la web moderna".
- ^ "Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - investigadores transl / finlandeses encontraron una grave filtración en el corazón de Internet" . 10 de abril de 2014. Archivado desde el original el 4 de noviembre de 2014 . Consultado el 13 de abril de 2014 .
- ^ Mutton, Paul (8 de abril de 2014). "Medio millón de sitios web ampliamente confiables vulnerables al error Heartbleed" . Netcraft . Archivado desde el original el 19 de noviembre de 2014 . Consultado el 24 de noviembre de 2014 .
- ^ Perlroth, Nicole; Hardy, Quentin (11 de abril de 2014). "Heartbleed Flaw podría llegar a los dispositivos digitales, dicen los expertos" . New York Times . Archivado desde el original el 28 de abril de 2019 . Consultado el 27 de febrero de 2017 .
- ^ Chen, Brian X. (9 de abril de 2014). "Q. y A. en Heartbleed: un defecto perdido por las masas" . New York Times . Archivado desde el original el 12 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ Wood, Molly (10 de abril de 2014). "Flaw llama para alterar las contraseñas, dicen los expertos" . New York Times . Archivado desde el original el 19 de octubre de 2017 . Consultado el 27 de febrero de 2017 .
- ^ Manjoo, Farhad (10 de abril de 2014). "Recordatorio rígido de los usuarios: a medida que la Web crece, se vuelve menos segura" . New York Times . Archivado desde el original el 24 de febrero de 2018 . Consultado el 27 de febrero de 2017 .
- ^ Zhu, Yan (8 de abril de 2014). "Por qué la Web necesita más que nunca un perfecto secreto hacia adelante" . Fundación Frontera Electrónica . Archivado desde el original el 20 de diciembre de 2017 . Consultado el 10 de abril de 2014 .
- ^ Goodin, Dan (8 de abril de 2014). "Cripto error crítico expone Yahoo Mail, otras contraseñas al estilo de la ruleta rusa" . Ars Technica. Archivado desde el original el 14 de julio de 2017 . Consultado el 14 de junio de 2017 .
- ^ "Schneier sobre seguridad: Heartbleed" . Schneier sobre seguridad . 11 de abril de 2014. Archivado desde el original el 23 de diciembre de 2017 . Consultado el 10 de abril de 2014 .
- ^ Steinberg, Joseph (10 de abril de 2014). "Vulnerabilidad masiva de seguridad en Internet: esto es lo que debe hacer" . Forbes . Archivado desde el original el 4 de enero de 2018 . Consultado el 29 de agosto de 2017 .
- ^ Kelion, Leo (11 de abril de 2014). "El gobierno de Estados Unidos advierte del peligro de errores de Heartbleed" . BBC News . Archivado desde el original el 6 de diciembre de 2018 . Consultado el 21 de junio de 2018 .
- ^ a b "Error de OpenSSL CVE-2014-0160" . Proyecto Tor. 7 de abril de 2014. Archivado desde el original el 10 de julio de 2017 . Consultado el 9 de abril de 2014 .
- ^ Grubb, Ben (14 de abril de 2014). "Cronología de divulgación de Heartbleed: quién sabía qué y cuándo" . El Sydney Morning Herald . Archivado desde el original el 25 de noviembre de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ "heartbeat_fix" . Archivado desde el original el 19 de noviembre de 2018 . Consultado el 14 de abril de 2014 .
- ^ a b " " lista completa de cambios "(Git - openssl.git / commitdiff)" . El proyecto OpenSSL. 7 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "El tsunami de revocación de certificados Heartbleed aún está por llegar" . Netcraft . 11 de abril de 2014. Archivado desde el original el 29 de mayo de 2014 . Consultado el 24 de abril de 2014 .
- ^ Mutton, Paul (9 de mayo de 2014). "¡Las claves no cambiaron en muchos certificados de reemplazo de Heartbleed!" . Netcraft . Archivado desde el original el 27 de agosto de 2016 . Consultado el 11 de septiembre de 2016 .
- ^ Kerner, Sean Michael (10 de mayo de 2014). "Heartbleed sigue siendo una amenaza para cientos de miles de servidores" . eWEEK .
- ^ Evans, Pete (14 de abril de 2014). "Error de Heartbleed: 900 SIN robados de Revenue Canada" . CBC News . Archivado desde el original el 14 de marzo de 2018 . Consultado el 4 de noviembre de 2014 . Algunos de los detalles están en el video vinculado desde la página.
- ^ "La Agencia de Ingresos de Canadá empuja la fecha límite de impuestos al 5 de mayo después del error Heartbleed" . 14 de abril de 2014. Archivado desde el original el 4 de noviembre de 2014 . Consultado el 4 de noviembre de 2014 .
- ^ Thibedeau, Hannah (16 de abril de 2014). "Error Heartbleed acusado por RCMP después de incumplimiento de SIN" . CBC News . Archivado desde el original el 28 de octubre de 2014 . Consultado el 4 de noviembre de 2014 .
- ^ "El caso de hackeo de Heartbleed ve el primer arresto en Canadá" . BBC News . 16 de abril de 2014. Archivado desde el original el 23 de mayo de 2018 . Consultado el 21 de junio de 2018 .
- ^ a b Kelion, Leo (14 de abril de 2014). "Hacks de Heartbleed golpearon a Mumsnet y la agencia tributaria de Canadá" . BBC News . Archivado desde el original el 29 de noviembre de 2017 . Consultado el 21 de junio de 2018 .
- ^ "Mumsnet y Heartbleed como sucedió" . Mumsnet . Archivado desde el original el 29 de diciembre de 2017 . Consultado el 17 de abril de 2014 .
- ^ Ward, Mark (29 de abril de 2014). "Heartbleed utilizado para descubrir datos de los ciberdelincuentes" . BBC News . Archivado desde el original el 14 de mayo de 2018 . Consultado el 21 de junio de 2018 .
- ^ Lawler, Richard (11 de abril de 2014). "Cloudflare Challenge demuestra que el 'peor escenario' para Heartbleed es realmente posible" . Engadget . Archivado desde el original el 29 de diciembre de 2017 . Consultado el 29 de agosto de 2017 .
- ^ "El desafío Heartbleed" . CloudFlare . 2014. Archivado desde el original el 12 de abril de 2014.
- ^ Robertson, Jordan (16 de abril de 2014). "Los piratas informáticos de China pierden poco tiempo explotando Heartbleed" . El Sydney Morning Herald . Archivado desde el original el 28 de diciembre de 2017 . Consultado el 16 de abril de 2020 .
- ^ Frizell, Sam. "Revista Time: Informe: Devastador Heartbleed Defecto se utilizó en Hospital Hack" . Archivado desde el original el 7 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ Cipriani, Jason (9 de abril de 2014). "Error de Heartbleed: compruebe qué sitios se han parcheado" . CNET . Archivado desde el original el 17 de abril de 2020 . Consultado el 16 de abril de 2020 .
- ^ Gallagher, Sean (9 de abril de 2014). "La vulnerabilidad Heartbleed puede haber sido explotada meses antes del parche" . Ars Technica . Archivado desde el original el 3 de marzo de 2017 . Consultado el 14 de junio de 2017 .
- ^ Eckersley, Peter. "Salvaje de corazón: ¿Las agencias de inteligencia utilizaban Heartbleed en noviembre de 2013?" . Eff.org. Archivado desde el original el 5 de diciembre de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ Graham, Robert (9 de abril de 2014). "No, no estábamos buscando sangrados antes del 7 de abril" . Seguridad de erratas. Archivado desde el original el 16 de octubre de 2017 . Consultado el 10 de abril de 2014 .
- ^ Riley, Michael (12 de abril de 2014). "Se dice que la NSA explota el error Heartbleed para la inteligencia durante años" . Bloomberg . Archivado desde el original el 11 de abril de 2014 . Consultado el 7 de marzo de 2017 .
- ^ Molina, Brett. "Informe: la NSA explotó Heartbleed durante años" . USA Today . Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ Riley, Michael. "La NSA aprovechó el error Heartbleed durante dos años para recopilar inteligencia, dicen las fuentes" . Puesto financiero . Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Declaración sobre la historia de Bloomberg News de que la NSA conocía la falla del 'error Heartbleed' y la usaba regularmente para recopilar inteligencia crítica" . Agencia de Seguridad Nacional . 11 de abril de 2014. Archivado desde el original el 27 de diciembre de 2017 . Consultado el 13 de abril de 2014 .
- ^ Hosenball, Mark; Dunham, Will (11 de abril de 2014). "Casa Blanca, las agencias de espionaje niegan el error 'Heartbleed' explotado por la NSA" . Reuters . Archivado desde el original el 15 de abril de 2014 . Consultado el 1 de julio de 2017 .
- ^ Zetter, Kim. "El gobierno de Estados Unidos insiste en que no almacena exploits de día cero para piratear enemigos" . wired.com. Archivado desde el original el 29 de noviembre de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ Hunt, Troy (9 de abril de 2014). "Todo lo que necesita saber sobre el error SSL Heartbleed" . Troyhunt . Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "git.openssl.org Git - openssl.git / log" . git.openssl.org . Archivado desde el original el 15 de abril de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ "Discusiones de la comunidad de Spiceworks" . community.spiceworks.com. Archivado desde el original el 15 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Aviso de seguridad de OpenSSL [07 de abril de 2014]" . El proyecto OpenSSL . 7 de abril de 2014. Archivado desde el original el 8 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ "Versiones y vulnerabilidad de OpenSSL [9 de abril de 2014]" . Comodo . Archivado desde el original el 5 de julio de 2014 . Consultado el 9 de abril de 2014 .
- ^ "Los usuarios de Cyberoam no necesitan sangrar por Heartbleed Exploit" . cyberoam.com. Archivado desde el original el 15 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "tls1_process_heartbeat [9 de abril de 2014]" . Archivado desde el original el 26 de agosto de 2014 . Consultado el 10 de abril de 2014 .
- ^ "¿Por qué Heartbleed es peligroso? Explotación de CVE-2014-0160" . IPSec.pl. 2014. Archivado desde el original el 8 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ Graham-Cumming, John (28 de abril de 2014). "Buscando al principal sospechoso: cómo Heartbleed se filtró las claves privadas" . CloudFlare. Archivado desde el original el 29 de diciembre de 2017 . Consultado el 7 de junio de 2014 .
- ^ Juez, Kevin. "Servidores vulnerables a Heartbleed [14 de julio de 2014]" . Archivado desde el original el 26 de agosto de 2014 . Consultado el 25 de agosto de 2014 .
- ^ Rainie, Lee; Duggan, Maeve (30 de abril de 2014). "Impacto de Heartbleed" . Proyecto de Internet Pew Research . Centro de Investigación Pew . pag. 2. Archivado desde el original el 28 de diciembre de 2017 . Consultado el 22 de mayo de 2014 .
- ^ Bradley, Tony (14 de abril de 2014). "Reverse Heartbleed pone su PC y dispositivos en riesgo de ataque OpenSSL" . PCWorld . IDG Consumer y PyMEs. Archivado desde el original el 2 de diciembre de 2016 . Consultado el 10 de mayo de 2014 .
- ^ a b Arthur, Charles (15 de abril de 2014). "Heartbleed hace vulnerables 50 millones de teléfonos Android, según muestran los datos" . The Guardian . Guardian News and Media Limited. Archivado desde el original el 19 de marzo de 2016 . Consultado el 14 de diciembre de 2016 .
- ^ "Seguridad ahora 451" . Twit.Tv. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ Ramzan, Zulfikar (24 de abril de 2014). " ' Reverse Heartbleed' puede atacar PC y teléfonos móviles" . Revista SC . Haymarket Media, Inc. Archivado desde el original el 6 de octubre de 2016 . Consultado el 10 de mayo de 2014 .
- ^ a b "Vulnerabilidad de la extensión de latido de OpenSSL en varios productos de Cisco" . Cisco Systems. 9 de abril de 2014. Archivado desde el original el 29 de diciembre de 2017 . Consultado el 8 de mayo de 2014 .
- ^ "heartbleed-masstest: descripción general" . GitHub . Archivado desde el original el 1 de junio de 2014 . Consultado el 19 de abril de 2014 .
- ^ Cipriani, Jason (10 de abril de 2014). "¿Qué sitios han parcheado el error Heartbleed?" . CNET . Archivado desde el original el 11 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Preguntas frecuentes de Heartbleed: Akamai Systems parcheado" . Tecnologías de Akamai . 8 de abril de 2014. Archivado desde el original el 8 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ "Servicios de AWS actualizados para abordar la vulnerabilidad de OpenSSL" . Servicios web de Amazon . 8 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ "Estimados lectores, cambie las contraseñas de su cuenta de Ars lo antes posible" . Ars Technica. 8 de abril de 2014. Archivado desde el original el 18 de enero de 2017 . Consultado el 14 de junio de 2017 .
- ^ "Todas las actualizaciones de Heartbleed ahora están completas" . Blog de BitBucket. 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Mantener su cuenta BrandVerity a salvo del error Heartbleed" . Blog de BrandVerity. 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ @freenodestaff (8 de abril de 2014). "Tuvimos que reiniciar un montón de servidores debido a una vulnerabilidad de seguridad de openssl, que es / era muy ruidosa. ¡Lo siento!" (Tweet) - vía Twitter .
- ^ "Seguridad: vulnerabilidad Heartbleed" . GitHub . 8 de abril de 2014. Archivado desde el original el 10 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ "IFTTT dice que 'ya no es vulnerable' a Heartbleed" . LifeHacker . 8 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Error Heartbleed y el archivo" . Blogs de Internet Archive . 9 de abril de 2014 . Consultado el 14 de abril de 2014 .
- ^ @KrisJelbring (8 de abril de 2014). "Si inició sesión en cualquiera de nuestros juegos o sitios web en las últimas 24 horas con su nombre de usuario + contraseña, le recomiendo que cambie su contraseña" (Tweet) . Consultado el 14 de abril de 2014 , a través de Twitter .
- ^ "El error generalizado OpenSSL 'Heartbleed' está parcheado en PeerJ" . PeerJ . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ "¿Pinterest se vio afectado por el problema Heartbleed?" . Centro de ayuda de Pinterest . Archivado desde el original el 21 de abril de 2014 . Consultado el 20 de abril de 2014 .
- ^ "Heartbleed Derrotado" . Prezi . Archivado desde el original el 5 de junio de 2014 . Consultado el 13 de abril de 2014 .
- ^ "Le recomendamos que cambie su contraseña de reddit" . Reddit . 14 de abril de 2014. Archivado desde el original el 15 de abril de 2014 . Consultado el 14 de abril de 2014 .
- ^ "IMPORTANTES ANUNCIOS DE LOS FABRICANTES DE CHILE" . Archivado desde el original el 28 de julio de 2013 . Consultado el 13 de abril de 2014 .
- ^ Codey, Brendan (9 de abril de 2014). "Actualización de seguridad: vamos a cerrar la sesión de todos hoy, aquí está el por qué" . SoundCloud . Archivado desde el original el 13 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ "Respuesta de SourceForge a Heartbleed" . SourceForge . 10 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Heartbleed" . SparkFun . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Heartbleed" . Stripe (empresa) . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Actualización de seguridad urgente del personal de Tumblr" . 8 de abril de 2014. Archivado desde el original el 9 de abril de 2014 . Consultado el 9 de abril de 2014 .
- ^ Hern, Alex (9 de abril de 2014). "Heartbleed: no se apresure a actualizar las contraseñas, advierten los expertos en seguridad" . The Guardian . Archivado desde el original el 3 de enero de 2017 . Consultado el 14 de diciembre de 2016 .
- ^ a b Grossmeier, Greg (8 de abril de 2014). "[Wikitech-l] Fwd: Precaución de seguridad - Restableciendo todas las sesiones de usuario hoy" . Fundación Wikimedia . Archivado desde el original el 18 de junio de 2014 . Consultado el 9 de abril de 2014 .
- ^ Grossmeier, Greg (10 de abril de 2014). "Respuesta de Wikimedia a la vulnerabilidad de seguridad" Heartbleed " . Blog de la Fundación Wikimedia . Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Wunderlist y la vulnerabilidad Heartbleed OpenSSL" . 10 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Las preocupaciones de seguridad incitan a la agencia tributaria a cerrar el sitio web" . Noticias CTV . 9 de abril de 2014. Archivado desde el original el 18 de enero de 2021 . Consultado el 9 de abril de 2014 .
- ^ "Heartbleed: servicios fiscales canadienses de nuevo en línea" . CBC News . Archivado desde el original el 25 de abril de 2018 . Consultado el 14 de abril de 2014 .
- ^ Ogrodnik, Irene (14 de abril de 2014). "900 SIN robados debido a error Heartbleed: Agencia de Ingresos de Canadá | Globalnews.ca" . globalnews.ca . Noticias globales. Archivado desde el original el 4 de mayo de 2019 . Consultado el 4 de mayo de 2019 .
- ^ Seglins, Dave (3 de diciembre de 2014). "Hack de CRA Heartbleed: Stephen Solis-Reyes enfrenta más cargos" . cbc.ca . CBC News. Archivado desde el original el 4 de mayo de 2019 . Consultado el 4 de mayo de 2019 .
- ^ "El sitio de Statistics Canada fue pirateado por un atacante desconocido" . Vice - placa base . Archivado desde el original el 24 de diciembre de 2018 . Consultado el 23 de diciembre de 2018 .
- ^ Fiegerman, Seth (14 de abril de 2014). "El efecto Heartbleed: los servicios de contraseñas están teniendo un momento" . Mashable . Archivado desde el original el 16 de octubre de 2017 . Consultado el 28 de abril de 2014 .
- ^ "LastPass y el error Heartbleed" . LastPass . 8 de abril de 2014. Archivado desde el original el 18 de diciembre de 2017 . Consultado el 28 de abril de 2014 .
- ^ "[tor-relés] Rechazando 380 llaves de guardia / salida vulnerables" . Lists.torproject.org. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ "Tor Weekly News — 16 de abril de 2014 | El blog de Tor" . Blog.torproject.org. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ Gallagher, Sean (17 de mayo de 2012). "Las filas de servidores de retransmisión de la red Tor se cortaron debido al error Heartbleed" . Ars Technica. Archivado desde el original el 1 de mayo de 2014 . Consultado el 19 de abril de 2014 .
- ^ Mimoso, Michael. "Tor Nodos de salida de lista negra vulnerables a Heartbleed Bug | Threatpost | La primera parada para noticias de seguridad" . Threatpost. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ Younger, Paul (11 de abril de 2014). "Servicios de juegos de PC afectados por Heartbleed y acciones que debe realizar" . IncGamers. Archivado desde el original el 15 de abril de 2014 . Consultado el 15 de abril de 2014 .
- ^ "Comunicación de servidores HP: OpenSSL" HeartBleed "Vulnerability" . 18 de abril de 2014. Archivado desde el original el 4 de marzo de 2016.
- ^ "Productos FileMaker y el error Heartbleed" . 6 de mayo de 2014. Archivado desde el original el 12 de octubre de 2016 . Consultado el 8 de mayo de 2014 .
- ^ italovignoli (10 de abril de 2014). "LibreOffice 4.2.3 ya está disponible para descargar" . The Document Foundation . Archivado desde el original el 12 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "CVE-2014-0160" . LibreOffice . 7 de abril de 2014. Archivado desde el original el 3 de mayo de 2014 . Consultado el 2 de mayo de 2014 .
- ^ "LogMeIn y OpenSSL" . LogMeIn . Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Boletín de seguridad de McAfee - Vulnerabilidad de OpenSSL Heartbleed parcheada en productos de McAfee" . Base de conocimientos de McAfee . 17 de abril de 2014. Archivado desde el original el 16 de abril de 2014 . Consultado el 15 de abril de 2014 .
- ^ a b c d e "Error de seguridad de OpenSSL - Heartbleed / CVE-2014-0160" . Archivado desde el original el 28 de mayo de 2014 . Consultado el 12 de mayo de 2014 .
- ^ "Historial de versiones recientes" . WinSCP . 14 de abril de 2014. Archivado desde el original el 27 de abril de 2014 . Consultado el 2 de mayo de 2014 .
- ^ "Respuesta al problema de seguridad de OpenSSL CVE-2014-0160 / CVE-2014-0346 también conocido como:" Heartbleed " " . VMware, Inc. Archivado desde el original el 16 de abril de 2014 . Consultado el 17 de abril de 2014 .
- ^ "DSA-2896-1 openssl — actualización de seguridad" . El proyecto Debian. 7 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 17 de abril de 2014 .
- ^ "Aviso de seguridad de Ubuntu USN-2165-1" . Canonical, Ltd. 7 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 17 de abril de 2014 .
- ^ "Importante: actualización de seguridad openssl" . Red Hat, Inc. 8 de abril de 2014. Archivado desde el original el 18 de abril de 2014 . Consultado el 17 de abril de 2014 .
- ^ "Publicación de Karanbir Singh en CentOS -nounce" . centos.org. 8 de abril de 2014. Archivado desde el original el 14 de abril de 2014 . Consultado el 17 de abril de 2014 .
- ^ "Aviso de seguridad de AMI de Amazon Linux: ALAS-2014-320" . Amazon Web Services, Inc. 7 de abril de 2014. Archivado desde el original el 6 de junio de 2014 . Consultado el 17 de abril de 2014 .
- ^ "Dispositivos Android 4.1.1 vulnerables al error Heartbleed, dice Google" . Convergencia NDTV. 14 de abril de 2014. Archivado desde el original el 20 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ "Alrededor de 50 millones de teléfonos inteligentes Android siguen siendo vulnerables al error Heartbleed" . Fox News. 17 de abril de 2014. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ "Heartbleed: Android 4.1.1 Jelly Bean podría verse seriamente afectado" . BGR Media. 16 de abril de 2014. Archivado desde el original el 9 de marzo de 2017 . Consultado el 19 de abril de 2014 .
- ^ Blaich, Andrew (8 de abril de 2014). "Heartbleed Bug impacta los dispositivos móviles" . Caja azul. Archivado desde el original el 6 de mayo de 2014.
- ^ Snell, Jason (22 de abril de 2014). "Apple lanza corrección Heartbleed para estaciones base AirPort" . Macworld . Archivado desde el original el 25 de abril de 2020 . Consultado el 16 de abril de 2020 .
- ^ Kleinman, Alexis (11 de abril de 2014). "El error Heartbleed va aún más profundo de lo que nos dimos cuenta: esto es lo que debe hacer" . El Huffington Post . Archivado desde el original el 23 de marzo de 2019 . Consultado el 16 de abril de 2020 .
- ^ a b Yadron, Danny (10 de abril de 2014). "Error Heartbleed encontrado en enrutadores Cisco, Juniper Gear" . Dow Jones & Company, Inc.
- ^ "2014-04 Boletín de seguridad fuera de ciclo: varios productos afectados por el problema" Heartbleed "de OpenSSL (CVE-2014-0160)" . Juniper Networks. 14 de abril de 2014. Archivado desde el original el 16 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ Divulgación de información "OpenSSL" Heartbleed ", ECDSA" . Electric Sheep Fencing LLC. 8 de abril de 2014. Archivado desde el original el 2 de mayo de 2014 . Consultado el 2 de mayo de 2014 .
- ^ "¿OpenVPN se ve afectado por el error de OpenSSL CVE-2014-016?" . Foro DD-WRT . Archivado desde el original el 26 de febrero de 2017 . Consultado el 26 de febrero de 2017 .
- ^ "Problema de error de Heartbleed" . Western Digital . 10 de abril de 2014. Archivado desde el original el 19 de abril de 2014.
- ^ Brewster, Tom (16 de abril de 2014). "Heartbleed: 95% de las herramientas de detección 'defectuoso', afirman los investigadores" . The Guardian . Guardian News and Media Limited. Archivado desde el original el 4 de marzo de 2016 . Consultado el 14 de diciembre de 2016 .
- ^ "Tripwire SecureScan" . Tripwire: tome el control de la seguridad informática y el cumplimiento normativo con el software Tripwire . Archivado desde el original el 16 de abril de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "AppCheck - escaneo binario estático, de Codenomicon" . Archivado desde el original el 17 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Análisis de seguridad Pravail de Arbor Network" . Archivado desde el original el 11 de abril de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Herramienta de verificación Norton Safeweb Heartbleed" . Archivado desde el original el 10 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Herramienta de prueba de extensión Heartbleed OpenSSL, CVE-2014-0160" . Possible.lv. Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Pruebe su servidor para Heartbleed (CVE-2014-0160)" . Archivado desde el original el 11 de diciembre de 2017 . Consultado el 25 de noviembre de 2014 .
- ^ "Centro de seguridad Cyberoam" . Archivado desde el original el 15 de abril de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ "Reloj crítico :: Heartbleed Tester :: CVE-2014-0160" . Heartbleed.criticalwatch.com. Archivado desde el original el 14 de abril de 2014 . Consultado el 14 de abril de 2014 .
- ^ "metasploit-framework / openssl_heartbleed.rb en el maestro" . Archivado desde el original el 28 de junio de 2015 . Consultado el 25 de noviembre de 2014 .
- ^ "Comprobación de vulnerabilidad de latido de OpenSSL (Heartbleed Checker)" . Archivado desde el original el 24 de diciembre de 2014 . Consultado el 25 de noviembre de 2014 .
- ^ "Heartbleed Detector: compruebe si su sistema operativo Android es vulnerable con nuestra aplicación" . Lookout Mobile Security . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Comprobador de Heartbleed" . LastPass . Archivado desde el original el 10 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Escáner de vulnerabilidades OpenSSL Heartbleed :: Herramientas de prueba de penetración en línea | Herramientas de piratería ética" . Pentest-tools.com. Archivado desde el original el 13 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ Stafford, Jared (14 de abril de 2014). "heartbleed-poc.py" . Red Hat , Inc. Archivado desde el original el 12 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Prueba del servidor SSL de Qualys's SSL Labs" . Archivado desde el original el 7 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Chromebleed" . Archivado desde el original el 18 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "FoxBleed" . Archivado desde el original el 12 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Diagnóstico SSL" . SourceForge . Archivado desde el original el 12 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Escáner CrowdStrike Heartbleed" . Archivado desde el original el 11 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ Lynn, Samara. "Routers, SMB Networking Equipment - ¿Su dispositivo de red está afectado por Heartbleed?" . PCMag.com. Archivado desde el original el 24 de abril de 2014 . Consultado el 24 de abril de 2014 .
- ^ "Informe del sitio de Netcraft" . Archivado desde el original el 17 de agosto de 2014 . Consultado el 7 de octubre de 2014 .
- ^ "Extensiones de Netcraft" . Archivado desde el original el 11 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
- ^ Mutton, Paul (24 de junio de 2014). "Netcraft lanza indicador Heartbleed para Chrome, Firefox y Opera" . Netcraft . Archivado desde el original el 11 de julio de 2014 . Consultado el 24 de junio de 2014 .
- ^ Mann, Jeffrey (9 de abril de 2014). "Tenable facilita la detección de vulnerabilidades de OpenSSL utilizando Nessus y Nessus Perimeter Service" . Seguridad de red de Tenable. Archivado desde el original el 13 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Lanzamiento informal de Nmap 6.45" . 12 de abril de 2014. Archivado desde el original el 17 de abril de 2014 . Consultado el 23 de abril de 2014 .
- ^ "VRT: Heartbleed Memory Disclosure - ¡Actualice OpenSSL ahora!" . 8 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Blogs | Cómo detectar un exploit Heartbleed anterior" . Cauce. 9 de abril de 2014. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
- ^ "Los servidores parcheados siguen siendo vulnerables a Heartbleed OpenSSL | Hayden James" . Haydenjames.io. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
- ^ "Conciencia de revocación de certificados de seguridad - Implementaciones específicas" . Gibson Research Corporation. Archivado desde el original el 12 de mayo de 2014 . Consultado el 7 de junio de 2014 .
- ^ Kerner, Sean Michael (19 de abril de 2014). "El verdadero costo de Heartbleed SSL Flaw tomará tiempo para contabilizar" . eWEEK . Archivado desde el original el 18 de enero de 2021 . Consultado el 24 de abril de 2014 .
- ^ a b c d A. Wheeler, David (29 de abril de 2014). "Cómo prevenir el próximo Heartbleed" . Archivado desde el original el 2 de febrero de 2017 . Consultado el 30 de enero de 2017 .
- ^ Merkel, Robert (11 de abril de 2014). "Cómo el error Heartbleed revela una falla en la seguridad en línea" . La conversación . Archivado desde el original el 17 de abril de 2014 . Consultado el 21 de abril de 2014 .
- ^ "Re: FYA: http: heartbleed.com" . Gmane . Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
- ^ "Pequeña perorata de Theo De Raadt sobre OpenSSL" . Slashdot . Dado. 10 de abril de 2014. Archivado desde el original el 24 de abril de 2014 . Consultado el 22 de abril de 2014 .
- ^ Kerner, Sean Michael (22 de abril de 2014). "Después de Heartbleed, OpenSSL se bifurca en LibreSSL" . eWEEK . TechnologyAdvice . Consultado el 19 de enero de 2021 .
- ^ Timson, Lia (11 de abril de 2014). "¿Quién es Robin Seggelmann y su Heartbleed rompió Internet?" . El Sydney Morning Herald . Archivado desde el original el 19 de octubre de 2017 . Consultado el 16 de abril de 2020 .
- ^ Williams, Chris (11 de abril de 2014). "OpenSSL Heartbleed: nariz ensangrentada para corazones sangrantes de código abierto" . El registro . Archivado desde el original el 19 de septiembre de 2016 . Consultado el 29 de agosto de 2017 .
- ^ Smith, Gerry (10 de abril de 2014). "Cómo se podría haber evitado la peor pesadilla de Internet" . El Huffington Post . Archivado desde el original el 19 de julio de 2017 . Consultado el 16 de abril de 2020 .
El error revelado esta semana estaba oculto dentro de 10 líneas de código y habría sido detectado en una auditoría, según Laurie, que trabaja en el equipo de seguridad de Google.
- ^ a b Walsh, John (30 de abril de 2014). "Gratis puede hacerte sangrar" . Seguridad de comunicaciones SSH . Archivado desde el original el 2 de diciembre de 2016 . Consultado el 11 de septiembre de 2016 .
- ^ Seltzer, Larry (21 de abril de 2014). "OpenBSD se bifurca, pasa, corrige OpenSSL" . Día cero . ZDNet . Archivado desde el original el 21 de abril de 2014 . Consultado el 21 de abril de 2014 .
- ^ Pagliery, Jose (18 de abril de 2014). "Su seguridad en Internet depende de unos pocos voluntarios" . CNNMoney . Red de Noticias por Cable. Archivado desde el original el 7 de agosto de 2020 . Consultado el 3 de agosto de 2020 .
- ^ a b c Perlroth, Nicole (18 de abril de 2014). "Heartbleed destaca una contradicción en la Web" . The New York Times . Archivado desde el original el 8 de mayo de 2014 . Consultado el 27 de febrero de 2017 .
- ^ Kaminsky, Dan (10 de abril de 2014). "Sigue siendo mi corazón roto" . Blog de Dan Kaminsky . Archivado desde el original el 14 de abril de 2014 . Consultado el 22 de abril de 2014 .
- ^ Chiusano, Paul (8 de diciembre de 2014). "La economía fallida de nuestro software común, y lo que pueda al respecto ahora mismo" . Blog de Paul Chiusano . Archivado desde el original el 6 de abril de 2017 . Consultado el 3 de noviembre de 2017 .
- ^ a b "Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware y The Linux Foundation forman una nueva iniciativa para respaldar proyectos críticos de código abierto" . La Fundación Linux . 24 de abril de 2014. Archivado desde el original el 25 de abril de 2014 . Consultado el 25 de abril de 2014 .
- ^ Paul, Ian (24 de abril de 2014). "A raíz de Heartbleed, los titanes de la tecnología lanzan un fondo para proyectos cruciales de código abierto" . PCWorld . Archivado desde el original el 25 de abril de 2014 . Consultado el 24 de abril de 2014 .
- ^ "Google Project Zero tiene como objetivo evitar que el error Heartbleed vuelva a suceder" . TechRadar . Archivado desde el original el 10 de abril de 2017 . Consultado el 9 de abril de 2017 .
- ^ Greenberg, Andy (15 de julio de 2014). "Conoce a 'Project Zero', el equipo secreto de Google de piratas informáticos cazadores de errores" . Cableado . ISSN 1059-1028 . Consultado el 6 de marzo de 2019 .
Bibliografía
- Brock, Kevin (2019). "Hacia el estudio retórico del código" . Estudios de código retórico . Prensa de la Universidad de Michigan. págs. 9–32. ISBN 978-0-472-13127-3. Consultado el 19 de enero de 2021 .
- Wu, Han (mayo de 2014). Vulnerabilidad Heartbleed OpenSSL: un caso de estudio forense en la Facultad de Medicina (PDF) . NJMS Advancing Research IT (Informe). Universidad de Rutgers . Consultado el 19 de enero de 2021 .
- Durumeric, Zakir; et al. (2014). El asunto de Heartbleed . Actas de la Conferencia de 2014 sobre medición de Internet . págs. 475–488. doi : 10.1145 / 2663716.2663755 . ISBN 978-1-4503-3213-2.
enlaces externos
- Resumen y preguntas y respuestas sobre el error de Codenomicon Ltd
- Información para organizaciones e individuos canadienses
- Lista de todos los avisos de seguridad