Heartbleed
18
HEARTBLEED BUG Ing. Fabio García Ramírez Mg. Software Libre
-
Upload
fabio-garcia-ramirez -
Category
Software
-
view
65 -
download
4
description
Charla sobre la falla de seguridad del protocolo Openssl, conocida como HEARTBLEED, presentada en el evento UBUCONF CARTAGENA 2014
Transcript of Heartbleed
HEARTBLEED BUG
Ing. Fabio García RamírezMg. Software Libre
Agenda● Conceptualizacion: http/https, ssl/tls,
heartbeat, openssl.● Infografía: https/tls, https/tls con
heartbeat● Que es HeartBleed?● Infografía: HeartBleed● Sitios Web y Software Afectado● Como enfrentar a HeartBleed
Conceptualizacion: HTTP vs HTTPS● Una conexión HTTP simple es una serie de interacciones no
relacionadas. Su navegador solicita datos desde el sitio, el sitio devuelve esos datos, y eso es todo, hasta la próxima petición.
● Cuando se conecta con un sitio web seguro (HTTPS), hay una especie de apretón de manos para configurar la sesión segura. El navegador solicita el certificado del sitio, el servidor lo envía y este se verifica, obteniéndose la clave pública del sitio y generándose una clave de cifrado(privada) para la sesión segura, y lo envia al servidor del sitio, donde se descifra la clave privada y se inicia la sesión.
●
Conceptualizacion: HTTP vs HTTPS
Conceptualizacion: SSL / TLS● Secure Sockets Layer (SSL; en español «capa de conexión
segura») y su sucesor Transport Layer Security (TLS; en español «seguridad de la capa de transporte») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
●
Conceptualizacion: Extensión HeartBeat● La extensión Heartbeat para los protocolos Transport Layer
Security (TLS) y Datagram Transport Layer Security (DTLS) se propuso como un estándar en febrero del 2012 por el RFC 6520.2 Esto provee una forma de probar y mantener viva un enlace de comunicación segura sin la necesidad de renegociar la conexión cada vez..
●
Conceptualizacion: OpenSSL● OpenSSL es un proyecto de software
libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson.
● Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).
● Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS)..
●
Infografía: Conexion HTTPS/SSL
Infografía: Conexion HTTPS/SSL con extension HeartBeat
Infografía: HeartBeat uso normal vs malicioso
Que es HeartBleed?
● Heartbleed (español: hemorragia de corazón) es un agujero de seguridad (bug) de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor.
● Se reporta el primer caso entre el 1 al 3 de Abril de 2014.
Infografía: HeartBleed
Infografía: HeartBleed
Infografía: HeartBleed
Sitios y Software Afectado
Sitios y Software Afectado
Como enfrentar a HeartBleed
● Realizar el Test Online de HeartBleed, https://filippo.io/Heartbleed/
● Demo Live en: https://www.youtube.com/watch?v=iNQuMG6hdzE
● http://billatnapier.wordpress.com/2014/04/15/real-life-demo-of-the-heartbleed-vulnerability/
Muchas Gracias
● https://filippo.io/Heartbleed/
