Agujeros de seguridad, mensajes en Pinterest, Android sigue superando a iOs y el pozo sin fondo de la Surface

La seguridad online sigue en jaque

El descubrimiento de Hearthbleed puso en jaque la seguridad de todo Internet. Pues bien, desde entonces la librería OpenSSL que era la afectada por la citada vulnerabilidad ha estado bajo el atento ojo de los expertos en seguridad y se habrían descubierto nuevos fallos. Así pues, los responsables del proyecto OpenSSL habrían liberado un paquete con la corrección de hasta 9 fallos de seguridad. Como ya se puso de manifiesto con el descubrimiento de Hearthbleed, esta librería es ampliamente usada en muchos servidores, así pues, de nuevo cabe esperar que estos procedan a una rápida actualización de estos nuevos fallos de seguridad descubiertos.

logo-androidY Android también es Vulnerable

Y hablando de seguridad, también nos gustaría reseñar una vulnerabilidad que afecta a los dispositivos Android desde su versión 2.1 lanzada en 2010 y que ha sido bautizada como Fake ID. Esta vulnerabilidad concede privilegios especiales a los recursos de Android que normalmente tendrían que tener un acceso restringido. Así cuando se produce un fallo en la comprobación de certificados criptográficos de una aplicación, en esos casos se podría saltar la protección del Sandboz de Android. Así pues, mientras no se encuentre una solución a esta vulnerabilidad (que afectaría incluso a la versión 5.0 que todavía está en desarrollo), lo mejor para evitar problemas con esta vulnerabilidad es instalar apps solo desde fuentes de confianza.

Android supera a iOs en Apps disponibles

Si bien Apple e iOs han establecido el camino a seguir, Android que comenzó a la zaga ha ido superando progresivamente a iOs. Hace unos días comentabamos que por primera vez Android superaba a iOs en la actividad de sus usuarios, pues bien, la tienda Google Play estaría por encima en número de apps disponibles con respecto a la App Store. 100.000 apps son las que separan ahora a la tienda de Google de la de Apple. Lo que sigue quedando patente, es el crecimiento continuado del número de Apps para ambas plataformas que siguen mostrando un ritmo de crecimiento constante tras superar en ambos casos el millon de apps disponibles. Windows Phone por su parte se situaría en torno a unas 300.000 Apps disponibles, manteniendo un crecimiento constante también, pero no tan rápido como las otras dos plataformas.

logo pinterestPinterest estrenó su sistema de mensajería

La red social que continúa creciendo progresivamente, como demuestra el haber alcanzado los 30.000 millones de pines y que siguen creciendo a una cifra de unos 30 millones diarios, ha decidido incluir dentro de su servicio la posibilidad de enviar mensajes instantáneos entre los usuarios. De esta forma, la red social aspira a lograr que los usuarios permanezcan más tiempo dentro de su servicio o usando su App. Este nuevo servicio trata de dar un paso más allá de la posibilidad de enviar pines a amigos que se incluyó en la red social el año pasado, pero que no había logrado involucrar realmente a los usuarios, que muchas veces no hacían caso de dichas notificaciones.

Surface, perdidas económicas que poner en jaque su continuidad

Para concluir queríamos resaltar una información sobre la tablet de Microsoft. Y es que parece que las cifras que llegan de Redmon podrían poner en jaque la continuidad de la tableta de Microsoft. Así, desde que se lanzase el primer modelo de esta tablet, las pérdidas acumuladas serían de unos 1.700 millones de dólares. Los ingresos han aumentado considerablemente y las pérdidas se han reducido con respecto al año 2013, sin embargo todavía continúan los números rojos. También es reseñable la cancelación del proyecto para sacar un Surface Mini… ahora bien, ¿como actuará Nadella? Cancelará el proyecto o confiará en que los resultados a medio/largo plazo logren mejorar. De momento, Microsoft sigue tratando de sacar adelante su tablet y a finales de Agosto pretenden hacer llegar su última versión, la Surface Pro 3 a 25 nuevos paises (entre ellos españa). La cuestión es si logrará sobrevivir a la complicada situación.

 

Heartbleed sigue amenazando a más de 300.000 servidores

heartbleedYa han pasado más de cuatro semanas desde que saliese a la palestra la problemática de seguridad a la que estaban expuestos una gran mayoría de los servidores seguros, a consecuencia de la vulnerabilidad que afectaba al sistema de administración del cifrado OpenSSL. Conocido como Heartbleed este bug, aún a pesar de sus implicaciones, sigue estando muy presenta en la red. Y es que según un análisis llevado a cabo por la compañía Errata Security se habrían detectado más de 318.000 servidores vulnerables a este problema.

Cierto es que muchos servidores, especialmente los que dan servicios más importantes, habrían corregido esta vulnerabilidad, pero que aproximadamente un 2,33% de los servidores sigan siendo vulnerables debería ser algo que tenga los días contados.Así pues, aunque ya se ha minimizado en gran medida el impacto de este bug, conviene ser todavía cauteloso.

La cara amable de Heartbleed

heartbleedLa red se ha visto sacudida con la aparición del fallo de seguridad bautizado como Heatbleed. La seguridad de una gran parte de Internet se vio puesta en entredicho con este bug y desde que se hiciese público el anuncio, todos los sitios web que han sufrido este fallo han corrido para intentar actualizarse y evitar sus consecuencias. Un panorama oscuro se planteaba con este fallo de seguridad para las páginas supuestamente «seguras».

Pues bien, aunque parezca mentira, este bug ha tenido una parte «positiva». Y es que aprovechando esta vulnerabilidad algunos expertos investigadores de seguridad lo han aprovechado para atacar algunos sitios frecuentados por hackers, así pues los cazadores se convierten en cazados. Paradójico pero, siempre hay que ver el lado bueno de las cosas!

Heartbleed, o cuando el internet «seguro» dejó de serlo

¿No has oido hablar de Heartbled? Pues o no tienes Internet o sino es difícil de explicar que desconozcas por completo este nombre, que ha hecho temblar los cimientos de Internet. Y vamos a intentar explicar de forma lo más sencilla posible lo que esto implica.

¿Que es Heartbledd?

Heartbleed es el nombre que se le ha dado a un bug, considerado como el más grave hasta la fecha por las implicaciones que tiene. Y es que este bug afecta a la librería de criptografía OpenSSL muy extendida en internet (su uso se estima por encima del 50% de los sitios web) y por tanto a todos aquellos sitios web que intercambian información de forma segura (supuestamente) con el cliente. Concretamente esta librería se encarga de la desencriptación y encriptación de información crítica como puedan ser contraseñas, claves de acceso o certificados… en resumidas cuentas, toda aquella información que esperaríamos que nunca saliese a la luz.

heartbleed

¿Es un problema de protocolo?

En muchos lugares se ha mencionado que se trataba de un fallo del protocolo SSL/TSL  y de ahí su importancia. Pues bien, no es un fallo del protocolo, sino de la implementación realizada en la librería OpenSSL (el problema es que esta está muy extendida).

¿Como funciona Heartbleed?

Lo preocupante de este fallo, es que no requiere de acceso a información privilegiada o permisos de administración, sino que este bug queda expuesto por un desbordamiento de memoria, que permite acceder directamente a la memoria del servidor desde un cliente. Y todo ello, sin dejar rastro alguno.

Así pues si pensamos en servicios que hacen uso de SSL la cosa se pone delicada, correo electrónico, sitios de compras online, banca online, servicios de mensajería… 

¿Y ahora que?

Lo curioso de todo esto es que este bug aparece documentado ya en diciembre de 2011, y aún así a estas alturas estaba aún sin resolver (algo más de dos años después).

Y que podemos hacer los usuarios. ¿Cambiar las claves? En un principio es una medida de contención, pero no debemos olvidar que las claves privadas para su encriptado podrían haber sido también comprometidas, con lo cual eso no garantizaría un acceso no autorizado. Y los certificados digitales tampoco sirven como medida de salvaguarda, con la evidente incomodidad de tener que revocar las claves de encriptación (por complejidad y coste).

Y todo esto, sin que nadie nos pueda garantizar, que en todo este tiempo nuestra información haya podido estar al alcance de ojos indeseados… Vamos, que la red de redes lleva dos años sin ser tan segura como podríamos pensar (justo ahora que cada vez se popularizan los servicios de la nube, menudo varapalo).

Por supuesto, ahora que ha salido a la luz estas informaciones, muchos servidores están realizando actualizaciones y tratando de enmendar posibles agujeros de seguridad relacionados con este bug, así pues seguramente podríais estar recibiendo emails de los administradores de aquellos servicios que usáis informando al respecto.