- Universidad Piloto de Colombia
- Trabajos de grado - Posgrado
- Facultad de Ingenierías
- Especialización en Seguridad Informática
- View Item
Huecos de seguridad en algoritmos SSL (Heartbleed)
Abstract
La versión SSL de código abierto (OpenSSL)
utiliza una librería de software para cifrar las comunicaciones
entre el navegador y el servidor que aloja el servicio que se
está prestando. Afecta las versiones 1.0.1 y 1.0.1f, donde el
atacante mediante un desarrollo obtiene información
confidencial de sus usuarios. Esta vulnerabilidad se explota
mediante el envío de una solicitud de un heartbeat mal
formado con el fin de obtener la respuesta de la víctima,
permitiendo a los atacantes leer datos sensibles, lo cual pone
en peligro la confidencialidad de la víctima. Esto afecta a los
sitios que utilizan esas versiones de SSL y cuyo objetivo final
es el consumidor de ese servicio. Aunque la vulnerabilidad
puede ser corregida desde el proveedor quien presta el
servicio, el usuario debe ser consciente del impacto de esta
clase de huecos de seguridad y seguir algunas
recomendaciones descritas en este artículo. The open source SSL version (OpenSSL) uses a
software library to encrypt communications between the
browser and the server that hosts the service that is
focusing. It affects versions from 1.0.1 to 1.0.1f, where the
attacker through a development obtained confidential
information of its users. This vulnerability is exploited by
sending a malformed heartbeat request in order to obtain
the response of the victim, allowing attackers to view
sensitive data, which puts at risk the confidentiality of the
victim. This affects the sites that use those SSL versions
and whose final aim is the consumer of that service.
Although vulnerability can be corrected from the vendor
who provides the service, the end user must be aware of
the impact of this kind of security holes and follow some
recommendations described in this article.