Google actualiza sus servicios para detener el sangrado
El Internet es todo un hervidero con la noticia del fallo heartbleed que fue descubierto en la biblioteca de cifrado de OpenSSL popular. Para aquellos que no han escuchado, la biblioteca OpenSSL tenía un error en ella lo que significa que una agencia de ciber-criminal o un gobierno puede descifrar todo el tráfico que fluía a través de una conexión supuestamente seguro. La mayoría de nosotros usamos conexiones seguras cuando firmamos a Gmail o Google Play, etc y enviaremos nuestra dirección de correo electrónico y contraseña para Google para su verificación. Una conexión segura se utiliza para que un intruso no puede leer nuestras contraseñas. Esto no sólo es cierto para los servicios de Google, pero todos los principales servicios de utilizar HTTPS cuando firmamos en o al realizar una transacción financiera en línea.
Google ha anunciado que ha actualizado la biblioteca OpenSSL en sus servidores (y suponemos revocado las claves de certificado) para Search, Gmail, YouTube, Cartera, Play, Aplicaciones y App Engine. El gigante de las búsquedas Google dice que Chrome y Chrome OS no se ven afectados.
Heartbleed es particularmente grave debido a que el error ha estado en la biblioteca OpenSSL durante dos años y si una agencia del gobierno hizo descubrir el error (y no le dijo a nadie) entonces todo el pasado y el futuro del tráfico a un sitio web explotado está abierto para el descifrado. La razón es que las claves privadas reales que están asociadas con el certificado SSL de un sitio se puede leer. Una vez que las llaves han sido leídos entonces todo el tráfico hacia y desde el sitio puede ser descifrado incluso, el tráfico que fue capturado previamente y se almacena lejos en un archivo del gobierno de profundidad.
Tumblr ha sugerido que hoy podría ser un buen día para "llamar a los enfermos y tomar algún tiempo para cambiar sus contraseñas en todas partes, especialmente sus servicios de alta seguridad como el correo electrónico, almacenamiento de archivos, y la banca. "El problema con el consejo de Tumblr es que hasta los principales servicios que realmente dan el visto bueno, al igual que Google tiene, después cambio la contraseña no será de ningún valor como su nueva contraseña puede ser simplemente comprometida la misma rapidez. Sólo una vez al servicio ha actualizado a la última versión de OpenSSL y revocó su certificados ¿pueden los usuarios sin peligro cambiar sus contraseñas!
Lo irónico es que Neel Mehta, de Google en realidad fue acreditado con encontrar el error.
Algunos de los servicios de Google todavía se está actualizando más notable nube SQL, lo que Google dice que se está parcheado en este momento, y Google Compute Engine. En el caso de este último Google dice que sus clientes necesitan actualizar manualmente OpenSSL en cada instancia en ejecución o deberían reemplazar alguna de las imágenes existentes con versiones que incluyen una OpenSSL actualizado.Google también informó de que Android no está afectado por el error con la excepción de Android 4.1.1. El error se llama heartbleed como el error está relacionado con la extensión de los latidos del corazón TLS. 4.1.2 Android desactivado el uso de la funcionalidad de los latidos del corazón para una mejor interoperabilidad wpa_supplicant.
Lo irónico es que Neel Mehta, de Google en realidad fue acreditado con encontrar el error, por lo que habría pensado que Google tenía una ventaja en la fijación de la cuestión y de sus servicios ya debería haber sido seguro antes de la noticia golpeó la red. Tal vez Google se ha convertido en demasiado de una empresa para que eso ha sucedido!