Etiquetes

, ,

Els problemes de seguretat no són nous. Podríem trobar molts exemples en els darrers mesos, amb tipologies i víctimes diferents, duts a terme contra empreses concretes o a l’atzar i realitzats tant per individuals o col.lectius d’experts com per agències de seguretat.

Molts d’aquests problemes, no tots, es deuen a errors de programació, en ordinadors particulars o servidors que permeten, mitjançant l’enviament d’unes dades concretes a una aplicació, accedir a informació suposadament protegida de l’equip, tant interna com de les comunicacions que hi mantenen altres màquines.
Aquest ha estat el cas de Heartbleed, un nou problema amb molts inconvenients. Es troba en un programa de gestió de connexions segures per servidors, openSSL, i hi és present des de fa uns dos anys. A més, el fet que moltíssims servidors l’utilitzin fa que afecti a una base massa gran d’equips i usuaris, permetent robar dades que hi hagi a la memòria de l’equip vulnerable en el moment de l’atac.
El problema no és nou, ni té una solució complicada: en molts casos una actualització de programari a la darrera versió, corregida ràpidament, sol ser suficient. Però a Internet hi ha un número massa important de servidors sense gaire supervisió que probablement mai s’actualitzin. Per sort, ja hi ha algunes eines en línia per poder comprovar si un equip és vulnerable a Heartbleed.
Aquest és l’enèsim problema de seguretat: per això cal administrar correctament els servidors, respondre el més ràpid possible i esperar que, en aquest cas concret, ningú ho hagi aprofitat abans, ja que no deixa cap tipus de pista per saber si s’ha emprat l’error per accedir il·legítimament al servidor.

 

Anuncis