El error Heartbleed (http://en.wikipedia.org/wiki/Heartbleed_bug) es una grave vulnerabilidad en OpenSSL 1.0.1 a través de 1.0.1.f.
Esta vulnerabilidad permite a un atacante leer fragmentos de memoria de los servidores y los clientes que se conectan utilizando SSL a través de un defecto en la implementación de OpenSSL de la extensión heartbeat.
OpenSSL proporciona funcionalidad crítica en el ecosistema de Internet, y por lo tanto las vulnerabilidades, tales como Heartbleed, tienen un impacto significativo en las comunicaciones digitales y en su integridad.
¿Qué significa esto para los servidores de SeidoNet?
SSL es un protocolo importante para asegurar el tráfico web, y así asegurar las peticiones web para los inicios de sesión, las transacciones de pedidos, etc. SeidoNet, en todos sus servidores desde el día 7 de Abril que se conoció la noticia ha estado securizando los servidores que podrían tener esta vulnerabilidad. Sin embargo, como miembro de la comunidad de Internet.
¿Cómo puedo comprobar si mi servidor está protegido?
En esencia, hay tres formas en que puede comprobar si su servidor está protegido:
1 ) Sabiendo de antemano que nuestros servidores han sido securizados ante esta vulnerabilidad a través ed esta noticia.
2 ) Usted puede aprovechar una tercera herramienta de análisis a través de la web para su verificación.
A continuación se presentan tres de estos sitios que la comunidad que están acreditadas y de confianza. Sólo tiene que introducir su sitio web y le permitirá saber si el alojamiento donde está, es seguro:
http://filippo.io/Heartbleed/
https://www.ssllabs.com/ssltest/
http://possible.lv/tools/hb/
3 ) Se puede ejecutar una herramienta de escaneo de forma local en el servidor. Una de estas herramientas es:
https://github.com/n8whnp/ssltest-stls/blob/master/ssltest-stls.py
Les recordamos que los servidores dedicados y vps son administrados por el propio cliente y seidonet no actua sobre ellos. Es responsabilidad del cliente tener sus servidores actualizados.
¿Qué hago si mi servidor no está protegido?
Para securizar su servidor, solamente es necesario actualizar las librerias de openssl a una versión que no sea vulnerable, para ello puede seguir los pasos de esta sencilla guía http://tscadfx.com/update-plesk-heartbleed-bug/ si usa la configuración centos/debian con plesk. Para otras versiones deberá buscarlo en la documentación.
Una vez que he remendado mi servidor , ¿hay algo más que deba hacer?
Debido a la naturaleza de la vulnerabilidad no es posible saber de inmediato qué tipo de información, incluyendo las claves privadas, contraseñas, o la sesión de identificación, puede haber sido comprometida. Los ataques que aprovechan el bug Heartbleed ocurren muy temprano en un proceso de intercambio de información, antes de que se ha realizado una conexión completa, y por lo tanto no deja ningún historial de registro que se ha producido un ataque.
Le recomendamos que tome medidas de precaución y regenerar todas las claves SSH, así como la reedición todos los certificados SSL en uso.
Si usted ha comprado certificados SSL directamente desde SeidoNet, podrá hacerlo de manera muy cómo a través de su Área de Cliente.
También recomendamos que usted tome medidas de precaución relativas a las contraseñas que se utilizan para la autenticación en el acceso a su Área de Cliente y a sus respectivas aplicaciones web que haya podido instalar en su alojamiento web o servidores dedicados. Esto incluiría el restablecimiento de contraseñas administrativas.
¿Han sido afectados los servidores de alojamiento de SeidoNet por Heartbleed?
Según se ha indicado un poco más arriba, desde el día 7 de Abril que se da a conocer la noticia, nuestro equipo técnico ha estado revisando y actualizando en toda nuestra infraestrcutura finalizando las tareas en el día de ayer.
No sabemos si ha habido alguna filtración en ese periodo de tiempo, pero en la actualidad ya no corremos riesgo por la vulnerabilidad.
El error Heartbleed ha tenido un profundo impacto en la transmisión de datos seguros a través de Internet . Es por ello que estamos animando a nuestros clientes para restablecer sus contraseñas de su Área de Cliente lo antes posible como una cuestión de mantenimiento de contraseña común. Por favor, recuerde siempre hacer sus contraseñas seguras y al azar, y periódicamente cambiarlas.
Viernes, Abril 11, 2014
