Translate

18:37
0 comentaris

El bug ssl, Heartbleed, explicat a la meva dona.

divendres, 11 d’abril de 2014
Openssl heartbleed tecnologia
 Un gran enrenou ha generat la vulnerabilitat detectada en el protocol SSL. Com sempre passa amb aquestes coses quan surten fora dels seus àmbits degeneren i tothom en sap o vol saber-ne.

Anem pels que volen saber-ne.



En què consisteix aquest problema de seguretat?

El que s' ha detectat és que es possible aconseguir un bolcat de memòria complet del servidors que utilitzen el programari Openssl. Aquest programari és el que proporciona el servei d’encriptació a les comunicacions.

Que vol dir això exactament?

Un ordinador utilitza la memòria per fer totes les tasques. Dins de la memòria, doncs, hi trobem tot  programari que s' està executant però també totes les dades que està fent servir el programari en aquest moment. Per tant algú que aconsegueixi tenir un bolcat de la memòria d'un ordinador en un  moment donat pot obtenir totes les dades de tots els processos que s' estan executant en aquest moment. Això inclou paraules de pas, números de targeta de crèdit, etc.

Es un problema tant gran com diuen?

Si. És un tema molt delicat, implica que des de fa temps s' ha pogut llegir la informació d'aquests servidors sense que ningú ho detectés. I donat que a la memòria de l’ordinador hi pot ser tot, doncs aquestes persones han tingut accés a tota aquesta informació.

Als usuaris ens afecta?

Ara bé la resposta típica.  Depèn.

El problema detectat fa que teòricament s' hagin pogut obtenir els paraules de pas i les targetes de crèdit i molta més informació confidencial que s' hagin fet servir en webs segures que usen el protocol SSL. (Les que apareix el candauet o la barra del navegator es torna verda).
Ara bé s' hauria d'haver fet el bolcat de memòria just quan les nostres dades estan en  memòria del servidor i generalment no hi estan massa estona.

Per altra banda, cal tenir en compte que llegir un bolcat de memòria no es llegir una novel•la. Cal tenir moltíssims coneixements tècnics per fer-ho i per tant només està a l'abast d'uns pocs.


Les empreses tindran problemes?

El problema gros està en les empreses que tenen presència a Internet. A més a més dels problemes que ja s’han dit en la seguretat de les paraules de pas o targetes de crèdit dels seus clients. Es poden haver aconseguit les claus d’encriptació que s’usen per diverses tasques, com ara instal•lar programari o compartir informació. I això pot representar un problema molt gran per a les empreses. A més a més, les empreses sí que poden ser un objectiu real d’algú amb els coneixements necessaris per aprofitar aquest problema de seguretat.


Això està agreujat pel fet que l'atac no es pot detectar, per tant no es pot saber si algú n'ha sigut víctima o no, quin abast a tingut l'atac, quins han estat els riscos, etc.

Que hem de fer els usuaris?

No es pot fer massa cosa. Tant aviat com els proveïdors de serveis anunciïn que ja han solucionat el seu problema s' haurien de canviar les paraules de pas dels accessos.  Per temes d'altres dades, com targetes de crèdit i d'altres, en general si no ha passat res fins ara, és difícil que passi ara. Revisar rebuts i càrrecs per si hi ha qualsevol cosa extranya hauria de ser suficient. Però això ja ho fem sempre, oi?

Per estar completament tranquil en relació a la targeta de crèdit, podem canviar-la. En fem una de nova, paguem el que toca per renovar-la i ja està.

L'altre tema important es la banca online, però aquí com a usuaris no podem fer-hi massa res. Hem de confiar que les entitats bancaries estan protegides contra aquest tipus de coses i tenen les mesures de seguretat per evitar aquests riscos.

COMPTE ARA AMB EL PHISING

Caldrà tenir molt de compte amb la gran quantitat de correus electrònics de phising, que apareixeran arran d’això. Aquest correus signats per suposades entitats bancaries, demanaran de canviar els codis d’accés degut a aquest problema de seguretat. Molt de compte!!!

Comparteix amb:
 
Toggle Footer
Inici