Un cómic explica de forma sencilla cómo funciona Heartbleed

Actualizado: viernes, 11 abril 2014 13:03

icle class="NormalTextoNoticia" id="CuerpoNoticia" itemprop="articleBody">

MADRID, 11 Abr. (Portaltic/EP) -

El autor del webcomic XKCD ha realizado una viñeta en la que intenta simplificar la explicación de cómo funciona el 'bug' Heartbleed, que ha sido calificado por los expertos como el mayor fallo de seguridad de Internet.

En el cómic, un usuario hace una petición al servidor especificando el tamaño para que le replique, poniendo como ejemplo palabras y letras. Sin embargo, al decirle una palabra con un tamaño que no corresponde (HAT, 500 letras), el servidor responde esa palabra y toda la información que va a continuación hasta completar la longitud de caracteres especificada por el usuario. En esos datos es donde puede haber información confidencial y contraseñas.

Así, el fallo está en la función encargada de gestionar mensajes Heartbeat, llamados keep-alive ("mantener vivo"), una forma de mantener la conexión con el servidor diciéndole que no debe cerrarla porque el cliente sigue conectado.

Ese mensaje tiene una carga de contenidos (payload), entre los que se incluye, por ejemplo, la fecha de envío. El servidor, al recibir el mensaje, responde con esa misma carga. El cliente dice también la longitud de la carga para que el servidor la lea sin tener que adivinar dónde termina.

El problema ocurre cuando se le especifica una carga que no se corresponde con el envío; por ejemplo, si se le dice que se están enviando 500 bytes y en realidad sólo se le envía uno. En algunos lenguajes de programación de alto nivel este comportamiento simplemente pararía el programa y daría un fallo, pero OpenSSL -escrito en C- no verifica si la longitud que aparece en el paquete es incorrecta. Es decir, seguirá leyendo y copiando hasta que complete la longitud que se le ha dicho.

En esos datos se pueden encontrar información basura, claves del servidor o restos de otros paquetes. Repitiendo varias veces el ataque, es probable que se encuentre información valiosa.

Enlaces relacionados:

- Cómic en XKCD.

- Descubren el mayor fallo de seguridad en Internet: el bug Heartbleed

- Éstas son las webs afectadas por Heartbleed: ¿Qué hacer con ellas?

RESPONSABLE	EUROPA PRESS NOTICIAS S.A.
FINALIDAD PRINCIPAL	Gestionar el envío del boletín de noticias diario para informarle de los hechos más relevantes de cada día.
LEGITIMACIÓN	Consentimiento del interesado.
DESTINATARIOS	Sus datos podrán ser comunicados al resto de entidades del Grupo Europa Press con la finalidad de poder gestionar de forma correcta la suscripción.
DERECHOS	Acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan.
INFORMACIÓN ADICIONAL	Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad enhttps://www.europapress.es/politica-privacidad.htmlo escribiendo al correo electrónicoprotecciondedatos@europapress.es

Autonomías

Portales temáticos

Un cómic explica de forma sencilla cómo funciona Heartbleed

Más leídasofrecido por

Autonomías

Portales temáticos

Un cómic explica de forma sencilla cómo funciona Heartbleed

Boletín de PortalTIC

Más leídasofrecido por