211service.com
Muchos dispositivos nunca serán parcheados para corregir un error de Heartbleed
Un error de seguridad descubierto esta semana afecta aproximadamente a dos tercios de los sitios web y hace que los usuarios de Internet se esfuercen por comprender el problema y actualizar sus contraseñas en línea. Pero muchos sistemas vulnerables a la falla están fuera de la vista del público y es poco probable que se solucionen.
OpenSSL, en el que se encontró el error, conocido como Heartbleed, se usa ampliamente en software que conecta dispositivos en hogares, oficinas y entornos industriales a Internet. La falla Heartbleed podría perdurar durante años en dispositivos como hardware de red, sistemas de automatización del hogar e incluso sistemas críticos de control industrial, porque no se actualizan con frecuencia.
Los dispositivos conectados a la red a menudo ejecutan un servidor web básico para permitir que un administrador acceda a los paneles de control en línea. En muchos casos, estos servidores están protegidos mediante OpenSSL y su software deberá actualizarse, dice Philip Lieberman, presidente de la empresa de seguridad. Software de Lieberman . Sin embargo, es poco probable que esto sea una prioridad. Los fabricantes de estos dispositivos no lanzarán parches para la gran mayoría de sus dispositivos, y los consumidores parchearán una cantidad insignificante de dispositivos.
Los decodificadores de cable y los enrutadores de Internet domésticos son solo dos de las principales clases de dispositivos que probablemente se verán afectados, dice Lieberman. Los ISP ahora tienen millones de estos dispositivos con este error, dice.
Es probable que el mismo problema afecte a muchas empresas, porque una gran cantidad de hardware de red de nivel empresarial y de sistemas de automatización industrial y empresarial también se basan en OpenSSL, y esos dispositivos rara vez se actualizan. Los escaneos a gran escala de direcciones de Internet han descubierto previamente cientos de miles de dispositivos, que van desde equipos de TI hasta sistemas de control de tráfico, que están configurados incorrectamente o no se han actualizado para corregir fallas conocidas (consulte Qué sucedió cuando un hombre hizo ping a toda Internet) .
A diferencia de los servidores que son parcheados por ejércitos de personal de TI corporativo, estos dispositivos habilitados para Internet con partes vulnerables de OpenSSL no recibirán la atención que pueden necesitar, dice Jonathan Sander, oficial de estrategia e investigación de Tecnologías STEALTHbits , que ayuda a las empresas a gestionar y realizar un seguimiento del acceso y las fugas de datos. OpenSSL es como una pieza de motor defectuosa que se ha utilizado en todas las marcas y modelos de automóviles, carritos de golf y scooters.
Es difícil estimar cuántos dispositivos conectados a Internet son susceptibles al error Heartbleed, pero ha estado presente en OpenSSL durante mucho tiempo. Todo lo que se compiló en una versión de OpenSSL entre diciembre de 2011 y anteayer podría ser vulnerable, dice Mark Schloesser, investigador de seguridad de la empresa de seguridad de TI Rapid7.
Otra incógnita es a qué datos valiosos se puede acceder mediante un ataque Heartbleed. Schloesser dice que las pruebas hasta ahora sugieren que varía mucho de un sistema a otro. Los servidores de Yahoo, por ejemplo, filtraron contraseñas de usuarios, mientras que se descubrió que otros filtraban poco valor.
No todos los que actualmente intentan averiguar qué sistemas filtran información importante son investigadores de seguridad con buenas intenciones. Hay muchas personas que intentan usar esto para hacer una explotación generalizada, dice Schloesser. Señala la actividad observada en los registros del servidor web desde que se reveló el problema, lo que muestra los esfuerzos para encontrar sistemas vulnerables y la aparición de scripts que se pueden usar para probar las vulnerabilidades de Heartbleed.
Sander señala que muchos dispositivos de un solo propósito, por ejemplo, termostatos conectados a Internet, no contienen mucha información valiosa. Pero agrega que podrían derramarse lo suficiente para que un atacante inicie sesión y tome el control, e incluso pequeñas cantidades de datos podrían revelar, por ejemplo, si alguien está en casa o no.