Ir al contenido

Documat

Evaluación desde la óptica de la computación forense del bug openssl - heartbleed

  • Rico Franco, John Alexander [1]
    1. [1] Corporación Universitaria Republicana

      Corporación Universitaria Republicana

      Colombia

  • Localización: Revista Ingeniería, Matemáticas y Ciencias de la Información, ISSN-e 2357-3716, Vol. 2, Nº. 4, 2015 (Ejemplar dedicado a: REVISTA INGENIERÍA, MATEMÁTICAS Y CIENCIAS DE LA INFORMACIÓN), págs. 97-106
  • Idioma: español
  • Enlaces
  • Resumen
    • español

      En abril de 2014, se desvelo por parte de la comunidad especialista en seguridad informática, un fallo que afectaba a una de las librerías criptográficas primordiales en la protección de datos en Internet tal como lo es OpenSSL y debido a la popularidad de esta librería se estipula que este fallo conocido como Heartbleed, llego posiblemente a afectar al 66% de servidores de servicios web implementados en toda la Internet, esto debido al hecho de la implementaciónimplícita de OpenSSL en aplicaciones libres tan importantes y que manejan datos sensibles de los usuarios, tales como lo son Apache, Dropbox, Gmail, Minecraft, MySQL, OpenVPN y Ubuntu1.El presente documento busca presentar los conceptos y conclusiones que han sido resultado de un proyecto de investigación basado en estudiar algunos de los más interesantes aspectos concernientes a la falencia Heartbleed, desde su identificación, características, técnicas de aprovechamiento por parte de los delincuentes informáticos y medidas prácticas de mitigación; buscando así lograr dar una visión panorámica de esta catastrófica vulnerabilidad, que aunque esta ha sido ampliamente discutida y documentada en toda Europa, Asia y Estados Unidos, cabe resaltar que en Colombia y en varios países de sur y centroamérica esta alerta paso bastante desapercibida por la gran mayoría de los usuarios de dichos servicios comprometidos; por ende otra finalidad de este documento es aparte de presentar al bug Heartbleed es el de generar conciencia en cualquier profesional de la ingeniería de sistemas y a cualquier lector interesado, de que siempre existe la posibilidad de la existencia de otros fallos de igual o mayor magnitud sobre la protección de información en la Internet, puesto que una de las principales ventajas que tienen los delincuentes es la desinformación por parte de las personas sin altos conocimientos en sistemas y que utilizan la totalidad de los beneficios aportados por los distintos servicios desplegados en la Internet y que por ende muy posiblemente fueron víctimas directas en este desafortunado incidente computacional.

    • English

      In April of 2014 the community of computer security specialists centralized on the study of vulnerabilities over theInternet find out a catastrophic bug in OpenSSL library, this is one of the most used cryptographic libraries for the dataprotection over TCP/IP networks; this bug was called Heartbleed and it’s estimated that error harm over the 66% of thelive web servers implemented in the Internet, adove the active time of the Heartbleed, and all this happened because theimplicit use of the OpenSSL over critical applications like Apache, Dropbox, Gmail, Minecraft, MySQL, OpenVPN,Ubuntu and YouTube The following paper intends to exhibit the concepts and conclusions which are the result of a research project of the mostinteresting aspects concerning the Heartbleed bug, this study covers the identification of the error, their characteristics,harvesting techniques used by the hackers in the active time of the bug and some mitigation measures; all this aims togenerate a local overview of this major failure because in Europe, Asia and the United States this flaw was highlydocumented and socialized but in Colombia and several other countries in Central and South America this warning wentunnoticed by the vast majority of users of those influenced web services and it ́s because of this scene I don’t want onlysubmit to the facts of the Heartbleed bug, I intend revive the discussion of that sensitive issue and raise awareness of thereader about the possibility of the existence of other problems of equal or greater magnitude in the protection ofsensitive data in networks TCP/IP and so reduce one of the greatest tools in the arsenal of the informatic offenders whichis the misinformation and ignorance on these sensitive issues by millions of potential victims all over the Internet

  • Referencias bibliográficas
    • H. Kelly; « The ‘Heartbleed’ security flaw that affects most of the Internet»; Documento WEB; [http://edition.cnn.com/2014/04/08/tech/web/heartbleed-openssl/].
    • A. Freier; P. Karlton y P. Kocher; « The Secure Sockets Layer (SSL) Protocol»; RFC 6101; Documento WEB [https://tools.ietf.org/html/rfc6101];...
    • T. Dierks y E. Rescorla; « The Transport Layer Security (TLS) Protocol»; RFC 5246; Documento WEB;[https://tools.ietf.org/html/rfc5246]; 2008.
    • R. Seggelmann; M. Tuexen y M. Williams; «Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension»;...
    • B. Chandra; « A technical view of the OpenSSL Heartbleed vulnerability»; Documento WEB - PDF; [http://ibm.biz/dwsecurity].
    • T. Mpofu, N. Elisa y N. Gati; « The Heartbleed Bug: An Open Secure Sockets Layer Vulnerability»; Documento WEB - PDF;[http://www.ijsr.net/archive/v3i6/MDIwMTQ0ODk=.pdf]
    • Iupati Tumaalii; « Heartbleed — What’s the big fuss?»; Documento WEB - PDF; [http://www.aarnet.edu.au/images/uploads/resources/AARNet_Whitepaper_Heartbleed_06_2014.pdf].
    • Varios; « The Heartbleed Hit List: The Passwords You Need to Change Right Now»; Documento WEB;[http://mashable.com/2014/04/09/heartbleedbug-websites...
    • J. Pagliery; « Heartbleed bug affects gadgets everywhere»; Documento WEB; [http://money. cnn.com/2014/04/11/technology/security/heartbleedgear/].
    • Accuvant Labs; « Heartbleed Bug Advisory (CVE-2014-0160)»;
    • Documento WEB - PDF; [http://accuvantstorage.blob.core.windows.net/web/file/2016b4dc040c49ee991b5721e0dd62b3/HeartBleed-Bug-CVE-2014-0160-release.pdf].
    • D. Dieterle; « Basic Security Testing with Kali Linux»; Editorial: CreateSpace Independent Publishing Platform; 2014.
    • G. Lyon; « Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning»; Editorial: Nmap Project; 2009.
    • D. Kennedy, J. O’Gorman y D. Kearns; « Metasploit: The Penetration Tester’s Guide»; Editorial: No Starch Press; 2011.
    • A. Johns; « Mastering Wireless Penetration Testing for Highly-Secured Environments»; Editorial: Packt Publishing; 2015.
    • D. Stuttard y M. Pinto; « The Web Application Hacker’s Handbook: Finding and Exploiting Security Flaws»; Editorial: Wiley; 2011.
    • G. Weidman; « Penetration Testing: A Hands-On Introduction to Hacking»; Editorial: No Starch Press; 2014.
    • I. Ristic; « Bulletproof SSL and TLS: Understanding and Deploying SSL/TLS and PKI to Secure Servers and Web Applications»; Editorial: Feisty...
    • P. Kim; « The Hacker Playbook: Practical Guide To Penetration Testing»; Editorial: CreateSpace Independent Publishing Platform; 2014.
    • T. Wilhelm; « Professional Penetration Testing: Creating and Learning in a Hacking Lab»; Editorial: Syngress; 2013.
    • J. Pagliery; «Don’t assume you’re safe from Heartbleed»; Documento WEB; [http://money.cnn.com/2014/04/24/technology/security/heartbleedsecurity/].
    • M. Ward; « Heartbleed bug creates confusion online»; Documento WEB; [http://www.bbc.com/news/technology-26971363].
    • S. Curtis; « ‘Heartbleed’ bug in web technologythreatens user data»; Documento WEB; [http://www.telegraph.co.uk/technology/internet-security/10754169/Heartbleed-bug-in-web-technology-threatensuser-data.html].
    • U.S. Department of homeland security; « ‘NCCIC – Heartbleed OpenSSL Vulnerability»; Documento WEB- PDF; [https://www.us-cert.gov/sites/ default/files/publications/Heartbleed%20Open...
Fundación Dialnet

Mi Documat

Opciones de artículo

Opciones de compartir

Opciones de entorno