La preocupació per la seguretat a Internet ha anat en augment durant les últimes setmanes a causa d'un error anomenat Dolorós, que ha deixat al descobert la vulnerabilitat del certificat de seguretat web de codi obert OpenSSL, tornant a posar en dubte la seguretat de les nostres dades a Internet.
Què és Heartbleed i com ens pot afectar?
Dolorós és un fallada de seguretat que afecta servidors dedicats i virtuals, correus electrònics i connexions VPN (Xarxes Privades Virtuals), així com dispositius mòbils (smartphones, tablets), Smart TV's, punts d'accés WIFI, routers i altres dispositius amb connexió a Internet. Aquesta falla permet accedir a informació que hauria d'estar protegida per l'encriptació SSL/TLS. L'atacant pot accedir a la memòria d'un servidor que utilitzi OpenSSL (per exemple, Apache) i obtenir les claus privades SSL. Aquest greu error de programari porta una mica més de dos anys al codi d'OpenSSL i ha compromès seriosament la seguretat de dos terços de les pàgines web existents.
Recomanacions per sobreviure a Heartbleed:
A conseqüència de Dolorós, han corregut rius de tinta per la xarxa oferint diferents mesures, recomanacions i accions preventives per estar fora de perill d'aquesta vulnerabilitat. Des de Nominalia i Escola d'Internet, recomanem seguir aquesta sèrie d'indicacions de seguretat tant a administradors de servidors com a usuaris per evitar veure's afectats per Dolorós i en línies generals, millorar la seguretat a Internet:
- En cas que el servidor d'un lloc estigui configurat per accedir-hi emprant el prefix https:// és recomanable actualitzar les llibreries del sistema i substituir els certificats i les claus que podrien estar afectats. L'accés remot mitjançant SSH no està afectat per aquesta vulnerabilitat.
- Aplicar un pegat i actualitzar a una versió de OpenSSL que no es vegi afectada.
- Sol·licitar un nou certificat de seguretat del lloc.
- Anul·lar el certificat de seguretat anterior.
- Es recomana no entrar als llocs afectats. LastPass disposa d'una eina per analitzar si una web es troba afectada per Dolorós. Google Chrome ha posat a disposició dels usuaris l'extensió Chromebleed que envia alertes en cas d'estar navegant per alguna pàgina infectada.
- Un cop corregit el problema, s'han de canviar les contrasenyes que es facin servir habitualment i millorar-ne la seguretat, creant claus de longitud superior a 6 caràcters, incloent números i/o símbols, etc.
- Instal·lar la nova versió d'OpenSSL, la 1.0.1g o superior. Cal advertir que aquest codi és vulnerable al error només en la seva versió 1.0.1f i que, en general, només cal actualitzar la versió per estar protegits. Els experts en hosting de Nominalia indiquen les versions vulnerables a aquest bug:
- De la versió 1.0.1 a la versió 1.0.1f (inclosa) són VULNERABLES
- OpenSSL 1.0.1g NO és vulnerable
- OpenSSL 1.0.0 (tot el rang) no són vulnerables
- OpenSSL 0.9.8 (tot el rang) no són vulnerables
- Instal·lar actualitzacions periòdicament.
- Consulteu els proveïdors de hosting. Per qualsevol dubte sobre seguretat web i hosting, Nominalia disposa d'un servei d'atenció al client des del seu tauler de control o per telèfon a través del número 93 288 40 62, amb horari de dilluns a diumenge de 8:00 a 20:00 hores.
Nominalia ofereix totes les garanties a allotjament web i les més efectives solucions de protecció i seguretat com Bloqueig de lloc, que protegeix un lloc web davant de vulnerabilitats, codi maliciós i ciberatacs, i Certificats de Seguretat SSL per protegir servidors virtuals i dedicats.
En aquests enllaços es pot trobar més informació sobre Dolorós i com resoldre'l: