Las vulnerabilidades tienden a evolucionar con el tiempo. Tras la identificación inicial, los investigadores, las empresas y los expertos tienden a apresurarse a ofrecer opiniones, a veces basadas en hechos y otras no tanto.
Las revelaciones relativas a Heartbleed no han sido una excepción. Sin embargo, uno de los descubrimientos más interesantes se ha producido en los últimos días.
Al principio, muchos se apresuraron a negar que las claves privadas pudieran quedar expuestas a través del fallo de OpenSSL. Resulta que esto no es cierto. Las claves privadas son vulnerables.
Cloudflare, que inicialmente había declarado que las claves privadas no podían ser expuestas, ofreció un reto a cualquiera para demostrar lo contrario. Resultados... dos individuos fueron capaces de obtener información suficiente para reproducir la firma de las claves privadas utilizadas en el servidor del reto.
¿Qué significa esto? En pocas palabras, la seguridad de Internet y de las redes empresariales acaba de volverse un poco más aterradora. Dediquemos un momento a analizar lo que sabemos ahora.
La mala noticia es que los productos y servidores que utilizan OpenSSL 1.0.1a a 1.0.1f (inclusive) son vulnerables y corren el riesgo de haber sido comprometidos. Como resultado de esta vulnerabilidad, información que de otro modo se consideraría privada podría haber quedado expuesta. El error que dio lugar a esta vulnerabilidad existe desde hace aproximadamente 2 años, lo que significa que podría haberse capturado una gran cantidad de información.
La peor noticia es que las claves privadas de los certificados SSL utilizados para cifrar todos los datos que viajan hacia y desde estos servidores pueden ser descifrados sobre la marcha si alguien tiene las claves privadas de estos servidores.
Y si pensabas que eran malas noticias... resulta que muchos productos han incrustado las librerías OpenSSL en cuestión dentro de sus productos. Esto incluye productos de los principales proveedores como Cisco, Juniper, y algunas versiones de Android sólo para nombrar unos pocos.
Mientras los administradores de red luchan por conseguir parches para los servidores web, resulta que éstos podrían ser sólo la punta del iceberg de esta vulnerabilidad.
Así que la pregunta para muchos es "¿qué se ha puesto en peligro?". Tenemos que pensar en términos de un alcance nunca antes considerado. La realidad es que muchas cosas pueden haberse visto comprometidas. De hecho, es razonable suponer que todos los datos que viajan a través de uno de estos puntos finales afectados (servidores web, enrutadores, conmutadores, etc.) pueden haber sido comprometidos. Es algo así como vivir en una casa con cientos de puertas y sólo unas pocas llaves que se pueden utilizar para abrir todas las puertas. Ahora otra persona tiene una copia de esa llave y puede entrar y salir a su antojo. Nunca sabrás si han entrado o no.
La única forma de solucionar el problema es cambiar las cerraduras y conseguir llaves nuevas. El verdadero énfasis está en conseguir nuevas llaves. Cambiar las claves privadas es la única forma de estar completamente protegido frente a Heartbleed.
Sin cambiar las claves privadas de los dispositivos afectados, es como llamar a un cerrajero para que cambie las cerraduras (aplique el parche) pero teniendo las cerraduras configuradas para utilizar la misma clave (SSL certificate) que utilizaba anteriormente. En resumen, es tan efectivo como cambiar las bisagras y el picaporte y pintar la puerta con la esperanza de que el ladrón piense que porque la puerta parece diferente, se ha equivocado de casa.
Así que es hora de volver a emitir todos los certificados que residen en los productos y dispositivos afectados. Es probable que la mayoría de las organizaciones no conozcan todos los puntos finales afectados y tengan que dedicar una cantidad considerable de tiempo y esfuerzo a encontrar y parchear los servidores de SSL . La mayoría ha ignorado los routers internos, switches y otros equipos. Incluso con el parche aplicado, si los certificados no se han actualizado, estos dispositivos pueden seguir siendo vulnerables.
Una cosa buena que se desprende de esta experiencia de Heartbleed es que las organizaciones deberían comprender ahora el importante papel que desempeñan los certificados en una organización. Aunque nada puede eliminar el dolor asociado a la identificación, aplicación de parches y reemisión de certificados requerida como resultado de Heartbleed, la importancia de conocer y ser capaz de gestionar el ciclo de vida de los certificados en una empresa debería estar ahora muy clara. Tener las herramientas para identificar y remediar rápidamente los certificados "en riesgo" no debe pasarse por alto como parte de una estrategia y herramienta de seguridad integral.
