El medio estadounidense Bloomberg aseguró este viernes que el bug conocido como Heartbleed era conocido y explotado activamente por la Agencia de Seguridad Nacional (NSA por sus siglas en inglés). De acuerdo a fuentes anónimas vinculadas al caso, el organismo gubernamental se aprovechó de la falla durante los últimos dos años, a la vez que la mantenía en el más estricto secreto “en defensa de los intereses de la seguridad nacional”.
De confirmarse esta noticia, la NSA habría tenido acceso a dos tercios de los servidores encriptados en la web. Asimismo, servicios que reaccionaron inmediatamente después de haber sido conocida la noticia, como Google Mail y Amazon Web Services, habrían sido espiados desde 2012, por lo que los parches de seguridad anunciados esta semana han llegado demasiado tarde.
Por ahora, no se conoce ningún comunicado al respecto de la agencia estadounidense. Mientras tanto, muchas de las empresas más importantes de Internet, usuarias del protocolo OpenSSL, ya recomendado actualizar contraseñas; y otras ligadas a la industria del hardware, como Cisco y Juniper Networks, han lanzado parches para sus productos.
Heartbleed le proporcionó a la NSA la capacidad de obtener contraseñas y otros datos básicos, componentes fundamentales de sus operaciones de espionaje y hacking sofisticado. El problema, como indica Bloomberg, es que al mismo tiempo mantuvo completamente vulnerables a los usuarios, que pudieron ser víctimas de piratas informáticos u otras organizaciones gubernamentales.
Fuente: Bloomberg.com
Pablo, cual es la alternativa? Microsoft?? Sabias q cooperan
activamente con la NSA y habían incorporado muchas formas de entrar a cualquier
Windows, versión server inclusive, y hacer cualquier tipo de lectura/modificación,
no sólo lectura de la memoria de un proceso (que podría ni tener los
credenciales de los usuarios si fuese un SSL acelerador como nginx en vez de
Apache con mod_ssl)? Googlea también el escandalo con Lotus Notes (de IBM) de
hace unos 10 años cuando exportaban a todo el mundo una versión “patcheada”
por la NSA.
Como siempre, el que menos sabe más opina.
ni siquiera lo había dudado…
enterado y muchas gracias y posteado
A ver usuarios de servidores LINUX…. que opinan en 3…2…1…!!
How about operating systems?
Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Operating system distribution with versions that are not vulnerable:
Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
Uno cree o presupone que las agencias de seguridad estatales trabajan para el estado y la seguridad nacional, bla bla bla… son de hecho empresas privadas de espionaje enquistadas en los estados y utilizan nuestros presupuestos para funcionar y espiar en todas direcciones para tomar ventajas económicas fundamentalmente. Pero no seamos tan naive y creamos que esto sucede sólo con la NSA. Que no haya otros Snowden de otros países no quiere decir que no tengan el mismo modus operandis. La “información es poder” en el más estricto sentido de la palabra y estas agencias lo tienen a raudales.
[…] Espionaje: La NSA sabía de la existencia de Heartbleed … […]
¿Por qué será que no me resulta extraño?