Heatbleed y Latch

HEARTBLEED Y LATCH

HEARTBLEED

Se trata de una vulnerabilidad de OpenSSL, que es el sistema de cifrado que utilizan páginas web como Yahoo para evitar que otros vean nuestras contraseñas.

¿Qué es OpenSSL y qué es Heartbleed?

OpenSSL es la versión de código abierto de SSL, una librería de software usada para cifrar las comunicaciones entre nuestro navegador, y el servidor donde se aloja el servicio que estemos utilizando. Es, en definitiva, uno de los muchos sistemas que utilizan las compañías para ocultar nuestros datos a ojos de extraños.

Heartbleed es el apodo de una vulnerabilidad conocida como CVE-2014-0160 que afecta a las versiones 10.1 y 10.1f de OpenSSL. Según han podido comprobar diversos especialistas de seguridad, un hacker puede desarrollar un código que aproveche esa grieta, y robar información de usuarios.

Los expertos no se ponen de acuerdo sobre qué datos exactos están en peligro, pero parece que incluyen direcciones de e-mail, contraseñas y hasta números de cuentas bancarias. Los responsables de OpenSSL ya han publicado un parche que soluciona la vulnerabilidad, pero aún hay servicios que no han podido aplicarlo.

Afecta a casi todo lo que viaja cifrado en Internet: accesos seguros a webs para comprar o hacer gestiones con la administración, contraseñas y números de tarjeta de crédito almacenados en grandes y pequeños negocios de la red, correo electrónico y mensajería en línea con conexiones securizadas, "cookies" que almacenen información confidencial, redes privadas virtuales.

¿Que Afecta?

Los usuarios no podemos hacer mucho al respecto. La brecha tiene que ser corregida en los propios servidores de cada página web, y cambiar la contraseña de, por ejemplo, nuestra cuenta de Yahoo no ayuda si la brecha sigue estando ahí.

¿Que puede hacer el usuario?

LATCH

Latch es una tecnología que pretende otorgar al usuario el control de su identidad en la red fortaleciendo la gestión de la autenticación y mejorando la seguridad de los proveedores de servicios

Latch  se basa en la idea de que los diferentes servicios online a los que accede el usuario no tienen por qué estar “encendidos” de manera constante.

Poder “encender y apagar” esos servicios de la misma manera que se echa el pestillo a una puerta es, según su creador Chema Alonso, una manera de garantizar la seguridad digital de los usuarios en una época “en la que se hackea todo”.

¿Como funciona?

Del lado del usuario Latch es una aplicación que el usuario se instala en el móvil con un manejo sencillo y no necesita ningún tipo de conocimiento experto.

La idea es que cuando el usuario “apaga” el acceso a uno de sus servicios, pongamos su cuenta de Facebook, nadie podrá acceder a esa cuenta y si lo hace, el usuario recibirá una alerta. De esta forma no sólo ese está añadiendo una capa extra se seguridad, se está reduciendo la ventana de oportunidades para seres malignos.

El usuario solo necesitará utilizar su Smartphone para "activar" o "desactivar" los servicios pareados con Latch. Para ello es necesario:

La creación de una cuenta de usuario en Latch por parte del cliente. Esta cuenta será la utilizada por el usuario para configurar sus estados en las operaciones (establecer a ON u OFF sus cuentas con los proveedores).

El pareado de su cuenta habitual con el proveedor (la cuenta de correo, o de un blog, por ejemplo) que se desea controlar, con la cuenta de usuario de Latch. Este paso permitirá a Latch sincronizarse con el proveedor de servicio para ofrecerle la respuesta adecuada (configurada por el usuario) dependiendo del proveedor de servicio y la operación concreta dentro de él. Por supuesto, el proveedor de servicio debe ser compatible con Latch. Esto permite a los usuarios que lo decidan, aprovechar esta ventaja ofrecida por el proveedor, sin que este deba imponer la solución a todos sus clientes.

¿Como funciona?

Esta diseñado para proteger los procesos definidos por cualquier proveedor de servicios para interactuar con sus usuarios. La naturaleza y el uso que se pueda dar a estos procesos son independientes de la protección que puede ser proporcionada por Latch.

La idea fundamental sobre la que se estructura esta protección es la limitación del tiempo de exposición del que dispone un atacante para intentar aprovechar alguno de estos procesos en su propio beneficio. El usuario decidirá si sus cuentas están en ON u OFF e incluso las acciones que se pueden realizar desde ellas. Esto supone que se logre la reducción de la ventana de tiempo en la que podría suceder un ataque, asociando a cada operación un control externo. El proveedor de servicio consultará a Latch el estado con el que el usuario ha decido configurar  la ejecución de esta operación para un momento determinado.

Esquema Latch

Latch no sustituye a las contraseñas, complementa y fortalece cualquier

sistema de autenticación.

Evitar que los datos de autenticación sean robados es muy complejo. Sin embargo, sí que es posible que el usuario tome el control de sus servicios digitales, y reduzca su tiempo de exposición. "Apagar" el acceso a tu correo, la posibilidad de usar tu tarjeta de crédito, o realizar transacciones online, cuando no esté usando. Bloquearlos incluso cuando se conocen las contraseñas adecuadas. Latch otorga la posibilidad de que sea el propio usuario quien decida cuándo se puede acceder a sus cuentas o usar ciertos servicios. No el proveedor. Ni por supuesto, el atacante.

Latch va a permitir que, incluso si un atacante utiliza un usuario y contraseña robado, una tarjeta de crédito, o cualquier sistema de que necesite una aprobación, al atacante le sea imposible utilizar esta información para hacerse pasar por el usuario fuera de un intervalo definido. En resumen, es posible que el usuario y contraseña que se utilizan para acceder a cualquier servicio, sean (pulsando un botón) solo válidos durante esos pocos segundos en los que es el propio usuario quien los introduce en el sistema.