La fallada de l’OpenSSL ens afecta a tots

Compartir

Moltes companyies que ofereixen serveis en el núvol comencen a recomanar als seus usuaris que canviïn les contrasenyes dels seus comptes.

Si sou usuari de serveis en el núvol com el correu electrònic, emmagatzematge, gestió de fotografies o d’altres, us podeu veure directament afectat pel bug Heartbleed al programa OpenSSL. Com i què fer?

Logotip que s'ha donat a la fallada Heartbleed

Logotip que s’ha donat a la fallada Heartbleed

Qualsevol dels serveis que empren el protocol https://, i que són visibles perquè es mostren aquestes sigles a la barra d’adreces al costat de l’URL del servei en comptes de http://, o bé perquè es mostra un cadenat a la barra d’estat del navegador, pot emprar una versió afectada d’OpenSSL.

El problema és que canviar la contrasenya del nostre compte sense saber si el lloc web del qual la canviem no ha corregit l’error instal·lant la versió 1.0.1g o un pegat, no serveix absolutament de res i, mentre, continuem estant al descobert.

És millor que, mentre no es corregeix el problema, no canviem res, especialment si la nostra contrasenya té més de dos anys d’antiguitat.

Per conèixer si un lloc web es troba fora de perill del bug Heartbleed, un hacker italià anomenat Filippo Valsorda ha posat en línia un test de comprovació.

Si en introduir la URL del servei en línia que emprem, el test ens indica que no pateix l’error, és recomanable canviar la nostra contrasenya. En el cas que el resultat sigui l’afectació, des d’aquestes ratlles us recomano que us poseu en contacte amb els administradors o responsables del lloc.

En canviar la contrasenya d’un dels serveis en línia que emprem, el més recomanable és que cada contrasenya sigui única, és a dir, que tinguem una de diferent per a cada compte.

D’aquesta manera limitem els danys: el més normal és que emprem la mateixa clau d’accés per a tots els serveis per simplificar, ja que d’aquesta manera ens en recordem més fàcilment. Però, precisament per aquesta lògica, si un ciberdelinqüent aconsegueix la contrasenya d’un dels serveis que emprem, provarà la mateixa en els nostres comptes d’altres serveis.

En utilitzar contrasenyes úniques i diferents per a cada servei, un atacant es pot infiltrar, per exemple, en el nostre correu electrònic, però no en les nostres xarxes socials o al servei d’emmagatzematge de fitxers que emprem.

La fallada Heartbleed ha estat qualificada com el problema de seguretat més greu de tota la història d’Internet. No ajuda el fet que és impossible saber si la fallada ha estat explotada.

Més informació

Pàgina de referència sobre el bug Heartbleed

 

Copyleft 2014 El Mur Tecnològic
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà El Mur Tecnològic

Guillem Alsina
Etiquetes: