Archivo por meses: abril 2014

Heartbleed en el CiTIUS y recomendaciones de seguridad

heartbleedA estas alturas todo el mundo estará al tanto de uno de los agujeros de seguridad más graves, por lo menos en cuanto a su impacto, que ha afectado a Internet en los últimos años: Heartbleed.

El problema es que ha estado presente durante más de un año y hasta que ha sido desvelado, cualquiera que tuviera de su conocimiento ha podido usarlo para obtener datos muy sensibles, como los certificados de servidores, cookies de sesión o contraseñas de usuarios, y es prácticamente imposible saber si ha sido así o no.

Lamentablemente, los servidores web y VPN del CiTIUS estaban afectados por dicho fallo de seguridad.

Fuimos rápidos parcheando el problema en ambos servicios, la misma mañana del 8 de abril, pocas horas después de que se hiciera público. Es poco probable que atacantes malintencionados, más allá de aquellos privilegiados que tuvieran el conocimiento antes del bombazo mediático, recuperasen datos sensibles. Y es difícil de creer que pudiésemos ser objetivo de los ataques de alguien así.

En nuestro caso, el disponer de un servidor Nginx que distribuye las peticiones hacia otros servidores internos a modo de pasarela ha jugado a nuestro favor: Ha permitido parchear el problema con mayor rapidez. En el improbable caso de que alguien consiguiese explotar el problema a tiempo, tan solo podría obtener datos en la memoria de ese servidor pasarela (aunque es cierto que al pasar todas las peticiones por allí, son muchos, pero son menos).

Recomendaciones para usuarios del Cloud IAAS

Algunas de las plantillas disponibles en el cloud IAAS están afectadas por este fallo de seguridad, por lo que los usuarios que hayan desplegado servicios que estén utilizando OpenSSL deben asegurarse de que el paquete OpenSSL está actualizado. Las versiones vulnerables son todas las de la rama 1.0.1 hasta la 1.0.1f. La versión 1.0.1g es la que incluye el parche de seguridad. En las próximas horas actualizaremos las plantillas para que las nuevas máquinas virtuales desplegadas no tengan este problema.

Recomendaciones de seguridad generales

Todos los usuarios deberían cambiar ahora todas sus contraseñas más sensibles, especialmente si las comparten entre varios servicios. Mashable ha publicado un listado de servicios afectados. Se debe comprobar antes si el servicio aún está afectado por el problema, aunque a estas alturas es poco probable.

En el caso de las cuentas del CiTIUS, recomendamos cambiarlas a través de este formulario a aquellos que se hayan identificado en la página web del centro desde el lunes por la tarde hasta que se parchearon los servidores, el martes a primera hora.

Hasta donde sabemos, los servidores de la USC no estaban funcionando con la versión de OpenSSL afectada, por lo que las cuentas de la USC no corren ningún peligro.

Es importante que todo el mundo comprenda que, aunque no sean tan mediáticos o tan graves, problemas de seguridad que pueden llevar a un robo de información sensible no son nada infrecuentes. Por ello, os damos una recomendaciones generales de seguridad que ayudarán a mantener a salvo vuestras credenciales y otros datos importantes:

  • Utilizar contraseñas diferentes en cada servicio, especialmente en aquellos que manejen o contengan información sensible, como el correo electrónico, servicios de banca, etc.
  • Utilizar contraseñas fuertes, que sean suficientemente largas, compuestas por símbolos y combinaciones de letras mayúsculas y minúsculas y que no tengan un significado que pueda llevar a su adivinación (acrónimos, fechas, diminutivos, palabras reales, etc.).
  • Tener la costumbre de cambiar las contraseñas cada cierto tiempo, una buena práctica es hacerlo de forma anual.
  • Mantener los sistemas y todo el software actualizados, especialmente en aquellos dispositivos que se utilizan para realizar compras, conectarse a banca electrónica, etc.
  • Evitar, si es posible, utilizar puntos de conexión a Internet públicos, especialmente si son abiertos, como los disponibles en aeropuertos, estaciones de autobuses o algunas cafeterías.

Más información: