Tag Archives: Seguridad

Heartbleed

Bastante hardcore lo de Heartbleed. En Genbeta he explicado en qué consiste: a grandes rasgos, es una puerta abierta a la memoria del proceso del servidor. Claves privadas, contraseñas, datos confidenciales… una fiesta.

Mirando más en detalle el código, es un fallo bastante estúpido. La función coge un valor que recibe en un paquete y no verifica que es correcto. Me parece increíble que alguien que esté programando en C una librería de seguridad no tenga grabado a fuego en la mano y en mayúsculas VERIFICA TODOS LOS DATOS. No me entra en la cabeza cómo alguien puede escribir un memcpy usando una longitud que no está comprobada sin que le salten todas las alarmas. Yo no llevo mucho programando C, pero siempre me saltan las alertas cada vez que hay un mínimo riesgo de sobrepasar el buffer (strcmp, memcpy, por ejemplo). Se pueden escapar fallos, sí, pero este es demasiado grave. Y no soy el único que lo digo.

Otra cosa que me ha llamado mucho la curiosidad, ya fuera del plano técnico, es la cobertura que han hecho los medios, especialmente en la cifra de sitios web afectados. 66%, dos tercios de la web. ¿De dónde sale esta cifra?

Most notable software using OpenSSL are the open source web servers like Apache and nginx. The combined market share of just those two out of the active sites on the Internet was over 66% according to Netcraft’s April 2014 Web Server Survey. – Heartbleed.com

De ahí sale. Alguien lo vio y se puso en marcha la máquina de gente que repite sin mirar y sin preocuparse. ¿No se extrañan de una cifra tan alta? ¿No se preguntan cómo es posible que haya tantos servidores vulnerables si es un fallo que afecta a HTTPS (entre otros) cuando hay tan relativamente pocos servidores usando HTTPS?

El 66% se refiere a los servidores usando Apache o nginx, que usan por defecto (creo) OpenSSL. Pero eso no quiere decir que todos ellos tengan HTTPS activado. Con saber un mínimo sobre el tema y preocuparse por lo que escribes, rápidamente veías que esa estadística estaba mal. Así luego nos tienen enfilados a los bloggers de tecnología.

Por qué no me gusta Kim Dotcom

Lo reconozco. No me gusta Kim Dotcom. Ni un pelo. ¿Por qué? Es bastante sencillo. En realidad, no me gusta desde el affaire Megaupload.

Resulta que el Gobierno de EEUU cierra Megaupload, detiene a Dotcom y borran todos los archivos (todo de manera bastante irregular). Curiosamente, Dotcom y Megaupload se convierten de repente en los héroes de Internet. ¡Es un ataque a la libertad de expresión!, llegaban a bramar algunos. Continue reading