Descobreixen un greu error de software que amenaça la seguretat a la xarxa
Tot i que ja s'ha publicat l'actualització que la corregeix, la vulnerabilitat ha estat vigent dos anys i ha afectat les principals empreses d'internet
Los AngelesLes companyies d'internet estan posant a corre-cuita un pedaç als seus sistemes informàtics després que s'hagi alertat d'un greu error de software en el sistema d'encriptació OpenSSL que ha compromès seriosament la seguretat de dues terceres parts de les pàgines web existents des del 2012. L'error, batejat com a 'Heartbleed', va ser localitzat per enginyers de Google i de l'empresa de ciberseguretat Codenomicon la setmana passada, i dilluns a la nit els responsables d'OpenSSL van donar a conèixer el problema i van publicar l'actualització que el resol.
La vulnerabilitat, que podria permetre als atacants remots l'accés a dades sensibles com contrasenyes i altres claus secretes que permeten descodificar la informació que circula per la xarxa, es remunta a la versió Open SSL 1.0.0, llançada el 14 de març del 2012, i afecta també la versió 1.0.1f. "Hem posat a prova alguns dels nostres propis serveis des de la perspectiva dels 'hackers'. Ens hem atacat a nosaltres mateixos des de fora, sense deixar cap rastre", explica Codenomicon a la web que ha posat en marxa per informar sobre aquesta amenaça. Experts en seguretat informàtica han advertit que això implica que les víctimes no poden saber si algú ha accedit a les seves dades, la qual cosa és un problema perquè l'error existeix des de fa prop de dos anys.
"Si una web és vulnerable puc veure coses com la teva contrasenya, informació bancària i dades de salut, que tu creies que estaves enviant de forma segura a través de la teva web", explica Michael Coates, director de seguretat de producte de Shape Security. Segons Chirs Eng, vicepresident de recerca a l'empresa de seguretat informàtica Vercode, centenars de milers de servidors de webs i correus electrònics arreu del món han de ser revisats tan aviat com sigui possible per protegir-los dels atacs de 'hackers', que s'afanyaran per explotar aquesta vulnerabilitat un cop s'ha fet pública.
La web de tecnologia Ars Technica explica que l'investigador de seguretat Mark Loman ha estat capaç d'extreure dades de servidors de Yahoo Mail amb una eina gratuïta. En aquest sentit, un portaveu de Yahoo ha confirmat que el seu correu era vulnerable als atacs, però ha assegurat que ja s'hi ha posat el pedaç necessari, igual que altres pàgines del mateix grup, com Yahoo Search, Finance, Sports, Flickr o Tumblr. Pàgines com Google, Facebook, YouTube, Twitter, Blogspot, Amazon, Wordpress i Pinterest, que també utilitzen el mateix sistema d'encriptació, també han reparat ja l'error.
Des de la xarxa de seguretat Tor Project, afectada per l'error de software, s'advertia que l'error era tan alarmant que es recomanava a les persones que "necessitin un gran anonimat i privacitat a internet" que es mantinguessin allunyades de la xarxa totalment "durant els pròxims dies, fins que les coses es calmin".