stringtranslate.com

Sangrado del corazón

Heartbleed es un error de seguridad en algunas versiones obsoletas de la biblioteca de criptografía OpenSSL , que es una implementación ampliamente utilizada del protocolo Transport Layer Security (TLS). Se introdujo en el software en 2012 y se divulgó públicamente en abril de 2014. Heartbleed podría explotarse independientemente de si la instancia OpenSSL vulnerable se ejecuta como un servidor o cliente TLS. Fue resultado de una validación de entrada incorrecta (debido a una verificación de límites faltante ) en la implementación de la extensión Heartbeat de TLS. [5] Por lo tanto, el nombre del error deriva de heartbeat . [6] La vulnerabilidad se clasificó como una sobrelectura de búfer , [7] una situación en la que se pueden leer más datos de los que se deberían permitir. [8]

Heartbleed se registró en la base de datos de vulnerabilidades y exposiciones comunes como CVE - 2014-0160. [7] El Centro de Respuesta a Incidentes Cibernéticos de Canadá emitió un boletín de seguridad para informar a los administradores de sistemas sobre el error. [9] Se lanzó una versión corregida de OpenSSL el 7 de abril de 2014, el mismo día en que se hizo público Heartbleed. [10]

Las implementaciones de TLS distintas de OpenSSL, como GnuTLS , los Servicios de seguridad de red de Mozilla y la implementación de TLS en la plataforma Windows , no se vieron afectadas porque el defecto existía en la implementación de TLS en OpenSSL y no en el protocolo en sí. [11]

Los administradores de sistemas tardaban con frecuencia en aplicar parches a sus sistemas. A fecha de 20 de mayo de 2014 , el 1,5 % de los 800 000 sitios web más populares habilitados para TLS seguían siendo vulnerables al error [12] y, para el 21 de junio de 2014 , 309 197 servidores web públicos seguían siendo vulnerables [13] . Según un informe del 23 de enero de 2017 [14] de Shodan , casi 180 000 dispositivos conectados a Internet seguían siendo vulnerables al error [15] [16], pero para el 6 de julio de 2017 , el número había descendido a 144 000 según una búsqueda realizada en shodan.io para la vulnerabilidad [17] . Aproximadamente dos años después, el 11 de julio de 2019 , Shodan informó [18] que 91 063 dispositivos eran vulnerables. Estados Unidos tenía los dispositivos más vulnerables, con 21.258 (23%), y los 10 países con los dispositivos más vulnerables tenían un total de 56.537 dispositivos vulnerables (62%). Los países restantes sumaron 34.526 dispositivos (38%). El informe también desglosó los dispositivos en otras 10 categorías, como organización (las 3 principales fueron empresas inalámbricas), producto ( Apache httpd , Nginx ) y servicio ( HTTPS , 81%).

Historia

La extensión Heartbeat para los protocolos Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) fue propuesta como estándar en febrero de 2012 por RFC  6520. [19] Proporciona una manera de probar y mantener activos los enlaces de comunicación seguros sin la necesidad de renegociar la conexión cada vez. En 2011, uno de los autores de la RFC, Robin Seggelmann, entonces estudiante de doctorado en la Fachhochschule Münster , implementó la extensión Heartbeat para OpenSSL. Tras la solicitud de Seggelmann de poner el resultado de su trabajo en OpenSSL, [20] [21] [22] su cambio fue revisado por Stephen N. Henson, uno de los cuatro desarrolladores principales de OpenSSL. Henson no se dio cuenta de un error en la implementación de Seggelmann e introdujo el código defectuoso en el repositorio de código fuente de OpenSSL el 31 de diciembre de 2011. El defecto se extendió con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. La compatibilidad con Heartbeat estaba habilitada de forma predeterminada, lo que provocó que las versiones afectadas fueran vulnerables. [3] [23]

Descubrimiento

Según Mark J. Cox de OpenSSL, Neel Mehta del equipo de seguridad de Google informó de forma privada sobre Heartbleed al equipo de OpenSSL el 1 de abril de 2014 a las 11:09 UTC. [24]

El error fue bautizado por un ingeniero de Synopsys Software Integrity Group, una empresa finlandesa de seguridad cibernética que también creó el logotipo del corazón sangrante [25] , diseñado por la diseñadora gráfica finlandesa Leena Kurjenniska, y lanzó un sitio web informativo, heartbleed.com. [26] Aunque el equipo de seguridad de Google informó primero de Heartbleed a OpenSSL, tanto Google como Codenomicon lo descubrieron de forma independiente aproximadamente al mismo tiempo. [27] [28] Codenomicon informa el 3 de abril de 2014 como su fecha de descubrimiento y su fecha de notificación a NCSC-FI  [fi] para la coordinación de la vulnerabilidad. [29]

En el momento de la divulgación, se creía que alrededor del 17% (alrededor de medio millón) de los servidores web seguros de Internet certificados por autoridades de confianza eran vulnerables al ataque, lo que permitía el robo de las claves privadas de los servidores y de las cookies y contraseñas de las sesiones de los usuarios. [30] [31] [32] [33] [34] La Electronic Frontier Foundation , [35] Ars Technica , [36] y Bruce Schneier [37] consideraron que el error Heartbleed era "catastrófico". El columnista de ciberseguridad de Forbes, Joseph Steinberg, escribió:

Algunos podrían argumentar que Heartbleed es la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que el tráfico comercial comenzó a fluir en Internet. [38]

Un portavoz no identificado del Gabinete del Reino Unido recomendó que:

Las personas deberían consultar con los sitios web que utilizan para cambiar sus contraseñas. La mayoría de ellos han corregido el error y son los más indicados para aconsejar qué medidas deben adoptar las personas, si es que deben adoptar alguna. [39]

El día de la divulgación, el Proyecto Tor informó:

Si necesita un fuerte anonimato o privacidad en Internet, es posible que prefiera mantenerse alejado de Internet por completo durante los próximos días hasta que las cosas se calmen. [40]

El Sydney Morning Herald publicó una cronología del descubrimiento el 15 de abril de 2014, en la que se mostraba que algunas organizaciones habían logrado solucionar el problema antes de que se hiciera público. En algunos casos, no está claro cómo lo descubrieron. [41]

Corrección de errores y despliegue

Bodo Möller y Adam Langley de Google prepararon la solución para Heartbleed. El parche resultante se agregó al rastreador de problemas de Red Hat el 21 de marzo de 2014. [42] Stephen N. Henson aplicó la solución al sistema de control de versiones de OpenSSL el 7 de abril. [43] La primera versión corregida, 1.0.1g, se lanzó el mismo día. A fecha de 21 de junio de 2014 , 309.197 servidores web públicos seguían siendo vulnerables. [13] A fecha de 23 de enero de 2017 , según un informe [14] de Shodan, casi 180.000 dispositivos conectados a Internet seguían siendo vulnerables. [15] [16] La cifra había descendido a 144.000 a fecha de 6 de julio de 2017 , según una búsqueda en shodan.io de "vuln:cve-2014-0160". [17]

Renovación y revocación de certificados

Según Netcraft , alrededor de 30.000 de los más de 500.000 certificados X.509 que podrían haber sido comprometidos debido a Heartbleed habían sido reemitidos antes del 11 de abril de 2014, aunque menos fueron revocados. [44]

Para el 9 de mayo de 2014, solo el 43% de los sitios web afectados habían vuelto a emitir sus certificados de seguridad. Además, el 7% de los certificados de seguridad reemitidos utilizaban las claves potencialmente comprometidas. Netcraft afirmó:

Al reutilizar la misma clave privada, un sitio que se vio afectado por el error Heartbleed todavía enfrenta exactamente los mismos riesgos que aquellos que aún no han reemplazado sus certificados SSL . [45]

eWeek afirmó que "es probable que [el sangrado cardíaco] siga siendo un riesgo durante meses, si no años, por venir". [46]

Cloudflare revocó todos los certificados TLS y estimó que publicar su lista de revocación de certificados le costaría al emisor, GlobalSign , $400,000 por mes ese año. [47]

Explotación

La Agencia Tributaria de Canadá informó sobre el robo de números de seguro social pertenecientes a 900 contribuyentes y dijo que se accedió a ellos mediante una explotación del error durante un período de 6 horas el 8 de abril de 2014. [48] Después del descubrimiento del ataque, la agencia cerró su sitio web y extendió la fecha límite de presentación de declaraciones de impuestos del 30 de abril al 5 de mayo. [49] La agencia dijo que proporcionaría servicios de protección crediticia sin costo para cualquier persona afectada. El 16 de abril, la RCMP anunció que había acusado a un estudiante de informática en relación con el robo por uso no autorizado de una computadora y daños en relación con datos . [50] [51]

El sitio para padres del Reino Unido Mumsnet tuvo varias cuentas de usuario pirateadas y su director ejecutivo fue suplantado. [52] El sitio luego publicó una explicación del incidente diciendo que se debió a Heartbleed y el personal técnico lo solucionó rápidamente. [53]

Los investigadores anti-malware también explotaron Heartbleed para su propio beneficio con el fin de acceder a foros secretos utilizados por cibercriminales. [54] También se llevaron a cabo estudios configurando deliberadamente máquinas vulnerables. Por ejemplo, el 12 de abril de 2014, al menos dos investigadores independientes pudieron robar claves privadas de un servidor experimental configurado intencionalmente para ese propósito por CloudFlare . [55] [56] Además, el 15 de abril de 2014, J. Alex Halderman , un profesor de la Universidad de Michigan , informó que su servidor honeypot , un servidor vulnerable intencionalmente diseñado para atraer ataques con el fin de estudiarlos, había recibido numerosos ataques originados en China. Halderman concluyó que debido a que era un servidor bastante oscuro, estos ataques probablemente fueron ataques de gran alcance que afectaron grandes áreas de Internet. [57]

En agosto de 2014, se hizo público que la vulnerabilidad Heartbleed permitió a los piratas informáticos robar claves de seguridad de Community Health Systems , la segunda cadena de hospitales con fines de lucro más grande de Estados Unidos, comprometiendo la confidencialidad de 4,5 millones de registros de pacientes. La violación ocurrió una semana después de que Heartbleed se hiciera público por primera vez. [58]

Posibles conocimientos previos y explotación

Muchos sitios web importantes corrigieron el error o deshabilitaron la extensión Heartbeat a los pocos días de su anuncio, [59] pero no está claro si los atacantes potenciales estaban al tanto de esto antes y en qué medida fue explotado. [ cita requerida ]

Basándose en los exámenes de los registros de auditoría realizados por los investigadores, se ha informado de que algunos atacantes pueden haber explotado la falla durante al menos cinco meses antes de su descubrimiento y anuncio. [60] [61] Errata Security señaló que un programa no malicioso ampliamente utilizado llamado Masscan , introducido seis meses antes de la divulgación de Heartbleed, finaliza abruptamente la conexión en medio del protocolo de enlace de la misma manera que Heartbleed, generando los mismos mensajes de registro del servidor, y agregó: "Dos cosas nuevas que producen los mismos mensajes de error podrían parecer que las dos están correlacionadas, pero, por supuesto, no lo están. [62] "

Según Bloomberg News , dos fuentes internas anónimas le informaron que la Agencia de Seguridad Nacional de los Estados Unidos había estado al tanto de la falla desde poco después de su aparición, pero que, en lugar de informarla, la mantuvo en secreto entre otras vulnerabilidades de día cero no informadas para explotarla para los propios fines de la NSA. [63] [64] [65] La NSA ha negado esta afirmación, [66] al igual que Richard A. Clarke , miembro del Grupo de Revisión de Inteligencia Nacional sobre Tecnologías de Inteligencia y Comunicaciones que revisó la política de vigilancia electrónica de los Estados Unidos; le dijo a Reuters el 11 de abril de 2014 que la NSA no sabía nada de Heartbleed. [67] La ​​acusación impulsó al gobierno estadounidense a hacer, por primera vez, una declaración pública sobre su política de vulnerabilidades de día cero, aceptando la recomendación del informe de 2013 del grupo de revisión que había afirmado que "en casi todos los casos, para el código ampliamente utilizado, es de interés nacional eliminar las vulnerabilidades del software en lugar de utilizarlas para la recopilación de inteligencia estadounidense", y diciendo que la decisión de retener debería pasar de la NSA a la Casa Blanca. [68]

Comportamiento

Una representación de Heartbleed.

La extensión Heartbeat RFC 6520 prueba los enlaces de comunicación seguros TLS/DTLS al permitir que una computadora en un extremo de una conexión envíe un mensaje de solicitud Heartbeat , que consiste en una carga útil, generalmente una cadena de texto, junto con la longitud de la carga útil como un entero de 16 bits . Luego, la computadora receptora debe enviar exactamente la misma carga útil al remitente. [ cita requerida ]

Las versiones afectadas de OpenSSL asignan un búfer de memoria para el mensaje que se devolverá en función del campo de longitud del mensaje solicitante, sin tener en cuenta el tamaño real de la carga útil de ese mensaje. Debido a esta falla en la verificación de límites adecuada , el mensaje devuelto consta de la carga útil, posiblemente seguida de cualquier otra cosa que haya en el búfer de memoria asignado. [ cita requerida ]

Por lo tanto, Heartbleed se explota enviando una solicitud de latido malformada con una pequeña carga útil y un campo de longitud grande a la parte vulnerable (generalmente un servidor) para obtener la respuesta de la víctima, lo que permite a los atacantes leer hasta 64 kilobytes de la memoria de la víctima que probablemente haya sido utilizada previamente por OpenSSL. [69] Mientras que una solicitud de latido podría pedir a una parte que "envíe de vuelta la palabra de cuatro letras 'pájaro'", lo que da como resultado una respuesta de "pájaro", una "solicitud de Heartbleed" (una solicitud de latido maliciosa) de "envíe de vuelta la palabra de 500 letras 'pájaro'" haría que la víctima devuelva "pájaro" seguido de los 496 caracteres posteriores que la víctima tenga en la memoria activa. De esta manera, los atacantes podrían recibir datos confidenciales, comprometiendo la confidencialidad de las comunicaciones de la víctima. Aunque un atacante tiene cierto control sobre el tamaño del bloque de memoria revelado, no tiene control sobre su ubicación y, por lo tanto, no puede elegir qué contenido se revela. [ cita requerida ]

Instalaciones de OpenSSL afectadas

Las versiones afectadas de OpenSSL son OpenSSL 1.0.1 a 1.0.1f (inclusive). Las versiones posteriores (1.0.1g [70] y posteriores) y las versiones anteriores (rama 1.0.0 y anteriores) no son vulnerables. [71] Las instalaciones de las versiones afectadas son vulnerables a menos que OpenSSL se haya compilado con -DOPENSSL_NO_HEARTBEATS . [72] [73]

Programa y función vulnerables

Los archivos fuente del programa vulnerables son t1_lib.c y d1_both.c y las funciones vulnerables son tls1_process_heartbeat() y dtls1_process_heartbeat(). [74] [75]

Parche

El problema se puede solucionar ignorando los mensajes Heartbeat Request que piden más datos de los que necesita su carga útil, como lo exige el RFC.

La versión 1.0.1g de OpenSSL agrega algunas comprobaciones de límites para evitar la sobrelectura del búfer. La prueba que se muestra a continuación se introdujo para determinar si una solicitud de latido activaría Heartbleed; descarta silenciosamente las solicitudes maliciosas.

si ( 1 + 2 + payload + 16 > s -> s3 -> rrec . length ) devuelve 0 ; /* descartar silenciosamente según RFC 6520 sec. 4 */            

El sistema de control de versiones OpenSSL contiene una lista completa de cambios. [43]

Impacto

Los datos obtenidos mediante un ataque Heartbleed pueden incluir intercambios no cifrados entre partes TLS que probablemente sean confidenciales, incluidos los datos de publicación de formularios en las solicitudes de los usuarios. Además, los datos confidenciales expuestos podrían incluir secretos de autenticación como cookies de sesión y contraseñas, que podrían permitir a los atacantes hacerse pasar por un usuario del servicio. [76]

Un ataque también puede revelar claves privadas de las partes comprometidas, [3] [77] lo que permitiría a los atacantes descifrar las comunicaciones (tráfico futuro o pasado almacenado capturado mediante escuchas pasivas, a menos que se utilice un secreto perfecto hacia adelante , en cuyo caso solo se puede descifrar el tráfico futuro si se intercepta mediante ataques de intermediario ). [ cita requerida ]

Un atacante que haya obtenido material de autenticación puede hacerse pasar por el propietario del material después de que la víctima haya aplicado el parche a Heartbleed, siempre que el material sea aceptado (por ejemplo, hasta que se cambie la contraseña o se revoque la clave privada). Por lo tanto, Heartbleed constituye una amenaza crítica para la confidencialidad. Sin embargo, un atacante que se haga pasar por una víctima también puede alterar los datos. Indirectamente, las consecuencias de Heartbleed pueden ir mucho más allá de una violación de la confidencialidad para muchos sistemas. [78]

Una encuesta realizada en abril de 2014 entre adultos estadounidenses reveló que el 60 por ciento había oído hablar de Heartbleed. Entre los usuarios de Internet, el 39 por ciento había protegido sus cuentas en línea, por ejemplo cambiando contraseñas o cancelando cuentas; el 29 por ciento creía que su información personal estaba en peligro debido al error Heartbleed; y el 6 por ciento creía que su información personal había sido robada. [79]

Vulnerabilidad del lado del cliente

Aunque el error recibió más atención debido a la amenaza que representa para los servidores, [80] los clientes TLS que utilizan instancias OpenSSL afectadas también son vulnerables. En lo que The Guardian denominó Reverse Heartbleed , los servidores maliciosos pueden explotar Heartbleed para leer datos de la memoria de un cliente vulnerable. [81] El investigador de seguridad Steve Gibson dijo sobre Heartbleed que:

No es sólo una vulnerabilidad del lado del servidor, también es una vulnerabilidad del lado del cliente porque el servidor, o cualquier persona a la que te conectes, es tan capaz de pedirte un latido como tú de pedírselo a ellos. [82]

Los datos robados podrían contener nombres de usuario y contraseñas. [83] Reverse Heartbleed afectó a millones de instancias de aplicaciones. [81] Algunas de las aplicaciones vulnerables se enumeran en la sección "Aplicaciones de software" a continuación. [ cita requerida ]

Sistemas específicos afectados

Cisco Systems ha identificado 78 de sus productos como vulnerables, incluidos sistemas de telefonía IP y sistemas de telepresencia (videoconferencia). [84]

Sitios web y otros servicios en línea

Un análisis publicado en GitHub de los sitios web más visitados el 8 de abril de 2014 reveló vulnerabilidades en sitios como Yahoo !, Imgur , Stack Overflow , Slate y DuckDuckGo . [85] [86] Los siguientes sitios tienen servicios afectados o hicieron anuncios recomendando que los usuarios actualicen sus contraseñas en respuesta al error:

El gobierno federal canadiense cerró temporalmente los servicios en línea de la Agencia de Ingresos de Canadá (CRA) y varios departamentos gubernamentales debido a preocupaciones de seguridad por el error Heartbleed. [111] [112] Antes de que se cerraran los servicios en línea de la CRA, un pirata informático obtuvo aproximadamente 900 números de seguro social . [113] [114] Otra agencia del gobierno canadiense, Statistics Canada , tuvo sus servidores comprometidos debido al error y también desconectó temporalmente sus servicios. [115]

Los mantenedores de plataformas como la Fundación Wikimedia aconsejaron a sus usuarios cambiar sus contraseñas. [108]

Los servidores de LastPass eran vulnerables, [116] pero debido al cifrado adicional y al secreto de reenvío, los posibles ataques no pudieron aprovechar este error. Sin embargo, LastPass recomendó a sus usuarios que cambiaran las contraseñas de los sitios web vulnerables. [117]

El Proyecto Tor recomendó que los operadores de relés Tor y los operadores de servicios ocultos revocaran y generaran claves nuevas después de aplicar el parche OpenSSL, pero señaló que los relés Tor utilizan dos conjuntos de claves y que el diseño de múltiples saltos de Tor minimiza el impacto de explotar un solo relé. [40] 586 relés que luego se descubrió que eran susceptibles al error Heartbleed fueron sacados de línea como medida de precaución. [118] [119] [120] [121]

Los servicios relacionados con juegos, incluidos Steam , Minecraft , Wargaming , League of Legends , GOG.com , Origin , Sony Online Entertainment , Humble Bundle y Path of Exile se vieron afectados y posteriormente se solucionaron. [122]

Aplicaciones de software

Las aplicaciones de software vulnerables incluyen:

Varias otras aplicaciones de Oracle Corporation se vieron afectadas. [129]

Sistemas operativos/firmware

Varias distribuciones de Linux se vieron afectadas, incluidas Debian [132] (y derivados como Linux Mint y Ubuntu [133] ) y Red Hat Enterprise Linux [134] (y derivados como CentOS , [135] Oracle Linux 6 [129] y Amazon Linux [136] ), así como los siguientes sistemas operativos e implementaciones de firmware:

Servicios de pruebas de vulnerabilidad

Se han puesto a disposición varios servicios para comprobar si Heartbleed afecta a un sitio determinado. Sin embargo, se ha afirmado que muchos de ellos no son eficaces para detectar el error. [148] Las herramientas disponibles incluyen:

Otras herramientas de seguridad han añadido soporte para encontrar este error. Por ejemplo, Tenable Network Security escribió un complemento para su escáner de vulnerabilidades Nessus que puede escanear en busca de este fallo. [172] El escáner de seguridad Nmap incluye un script de detección de Heartbleed a partir de la versión 6.45. [173]

Sourcefire ha publicado reglas Snort para detectar el tráfico de ataques Heartbleed y el posible tráfico de respuesta Heartbleed. [174] El software de análisis de paquetes de código abierto como Wireshark y tcpdump puede identificar paquetes Heartbleed utilizando filtros de paquetes BPF específicos que se pueden utilizar en capturas de paquetes almacenados o tráfico en vivo. [175]

Remediación

La vulnerabilidad de Heartbleed se resuelve actualizando OpenSSL a una versión parcheada (1.0.1g o posterior). OpenSSL se puede utilizar como un programa independiente, un objeto compartido dinámico o una biblioteca enlazada estáticamente ; por lo tanto, el proceso de actualización puede requerir reiniciar procesos cargados con una versión vulnerable de OpenSSL, así como volver a vincular programas y bibliotecas que lo enlazaron estáticamente. En la práctica, esto significa actualizar paquetes que enlazan OpenSSL estáticamente y reiniciar programas en ejecución para eliminar la copia en memoria del código OpenSSL antiguo y vulnerable. [ cita requerida ]

Una vez que se haya solucionado el problema, los administradores de servidores deben abordar la posible violación de la confidencialidad. Debido a que Heartbleed permitió a los atacantes revelar claves privadas , estas deben ser tratadas como comprometidas; los pares de claves deben ser regenerados y los certificados que los utilizan deben ser reemitidos; los certificados antiguos deben ser revocados . Heartbleed también tenía el potencial de permitir la divulgación de otros secretos en memoria; por lo tanto, otro material de autenticación (como contraseñas ) también debe ser regenerado. Rara vez es posible confirmar que un sistema que fue afectado no ha sido comprometido, o determinar si se filtró una pieza específica de información. [176]

Dado que es difícil o imposible determinar cuándo una credencial puede haber sido comprometida y cómo puede haber sido utilizada por un atacante, ciertos sistemas pueden requerir un trabajo de remediación adicional incluso después de parchear la vulnerabilidad y reemplazar las credenciales. Por ejemplo, las firmas realizadas con claves que estaban en uso con una versión vulnerable de OpenSSL podrían haber sido realizadas por un atacante; esto plantea la posibilidad de que se haya violado la integridad y abre las firmas al repudio . La validación de firmas y la legitimidad de otras autenticaciones realizadas con una clave potencialmente comprometida (como el uso de certificados de cliente ) deben realizarse con respecto al sistema específico involucrado. [ cita requerida ]

Conciencia de revocación de certificados de seguridad del navegador

Dado que Heartbleed amenazaba la privacidad de las claves privadas, los usuarios de un sitio web comprometido podrían seguir sufriendo los efectos de Heartbleed hasta que su navegador se entere de la revocación del certificado o hasta que el certificado comprometido expire. [177] Por este motivo, la solución también depende de que los usuarios utilicen navegadores que tengan listas de revocación de certificados actualizadas (o soporte OCSP ) y respeten las revocaciones de certificados. [ cita requerida ]

Causas profundas, posibles lecciones y reacciones

Aunque evaluar el costo total de Heartbleed es difícil, eWeek estimó que el punto de partida sería de 500 millones de dólares. [178]

El artículo de David A. Wheeler How to Prevent the next Heartbleed analiza por qué Heartbleed no se descubrió antes y sugiere varias técnicas que podrían haber llevado a una identificación más rápida, así como técnicas que podrían haber reducido su impacto. Según Wheeler, la técnica más eficiente que podría haber evitado Heartbleed es un conjunto de pruebas que realice pruebas de robustez exhaustivas , es decir, que compruebe que las entradas no válidas causan fallos en lugar de éxitos. Wheeler destaca que un único conjunto de pruebas de propósito general podría servir como base para todas las implementaciones de TLS. [179]

Según un artículo de Robert Merkel en The Conversation , Heartbleed reveló un fallo masivo en el análisis de riesgos . Merkel cree que OpenSSL da más importancia al rendimiento que a la seguridad, lo que ya no tiene sentido en su opinión. Pero Merkel considera que no se debe culpar tanto a OpenSSL como a los usuarios de OpenSSL, que optaron por utilizar OpenSSL sin financiar una mejor auditoría y pruebas. Merkel explica que dos aspectos determinan el riesgo de que más errores similares provoquen vulnerabilidades. En primer lugar, el código fuente de la biblioteca influye en el riesgo de escribir errores con tal impacto. En segundo lugar, los procesos de OpenSSL afectan a las posibilidades de detectar errores rápidamente. En cuanto al primer aspecto, Merkel menciona el uso del lenguaje de programación C como un factor de riesgo que favoreció la aparición de Heartbleed, haciéndose eco del análisis de Wheeler. [179] [180]

En el mismo aspecto, Theo de Raadt , fundador y líder de los proyectos OpenBSD y OpenSSH , ha criticado a los desarrolladores de OpenSSL por escribir sus propias rutinas de gestión de memoria y, por lo tanto, afirma, eludir las contramedidas de explotación de la biblioteca estándar C de OpenBSD , diciendo que "OpenSSL no está desarrollado por un equipo responsable". [181] [182] Después de la divulgación de Heartbleed, los miembros del proyecto OpenBSD bifurcaron OpenSSL en LibreSSL . [183] ​​LibreSSL hizo una gran limpieza de código, eliminando más de 90.000 líneas de código C solo en su primera semana. [184]

El autor del cambio que introdujo Heartbleed, Robin Seggelmann, [185] declaró que no había validado una variable que contenía una longitud y negó cualquier intención de enviar una implementación defectuosa. [20] Tras la revelación de Heartbleed, Seggelmann sugirió centrarse en el segundo aspecto, afirmando que OpenSSL no es revisado por suficientes personas. [186] Aunque el trabajo de Seggelmann fue revisado por un desarrollador principal de OpenSSL, la revisión también tenía como objetivo verificar mejoras funcionales, una situación que hace que las vulnerabilidades sean mucho más fáciles de pasar por alto. [179]

Ben Laurie, desarrollador principal de OpenSSL, afirmó que una auditoría de seguridad de OpenSSL habría detectado Heartbleed. [187] El ingeniero de software John Walsh comentó:

Piénselo, OpenSSL sólo tiene dos personas [a tiempo completo] para escribir, mantener, probar y revisar 500.000 líneas de código crítico para el negocio. [188]

El presidente de la fundación OpenSSL, Steve Marquess, dijo: "El misterio no es que unos pocos voluntarios sobrecargados de trabajo no se hayan dado cuenta de este error; el misterio es por qué no ha ocurrido más a menudo". [188] David A. Wheeler describió las auditorías como una excelente manera de encontrar vulnerabilidades en casos típicos, pero señaló que "OpenSSL utiliza estructuras innecesariamente complejas, lo que hace que sea más difícil tanto para los humanos como para las máquinas revisarlas". Escribió:

Debería haber un esfuerzo continuo para simplificar el código, porque de lo contrario, el simple hecho de añadir capacidades aumentará lentamente la complejidad del software. El código debería refactorizarse con el tiempo para hacerlo simple y claro, no sólo para añadir nuevas características constantemente. El objetivo debería ser un código que sea "obviamente correcto", en lugar de un código que sea tan complicado que "no pueda ver ningún problema". [179]

Según el investigador de seguridad Dan Kaminsky , Heartbleed es un signo de un problema económico que necesita ser solucionado. Al ver el tiempo que se tarda en detectar este simple error en una característica simple de una dependencia "crítica", Kaminsky teme numerosas vulnerabilidades futuras si no se hace nada. Cuando se descubrió Heartbleed, OpenSSL era mantenido por un puñado de voluntarios, de los cuales sólo uno trabajaba a tiempo completo. [189] Las donaciones anuales al proyecto OpenSSL eran de unos 2.000 dólares estadounidenses. [190] El sitio web Heartbleed de Codenomicon recomendó donaciones de dinero al proyecto OpenSSL. [3] Después de enterarse de las donaciones durante los 2 o 3 días posteriores a la revelación de Heartbleed por un total de 841 dólares estadounidenses, Kaminsky comentó: "Estamos construyendo las tecnologías más importantes para la economía global en una infraestructura sorprendentemente subfinanciada". [191] El desarrollador principal Ben Laurie ha calificado el proyecto como "completamente sin financiación". [190] Aunque la OpenSSL Software Foundation no tiene un programa de recompensas por errores , la iniciativa Internet Bug Bounty otorgó 15.000 dólares a Neel Mehta de Google, quien descubrió Heartbleed, por su divulgación responsable. [190] Mehta más tarde donó su recompensa a una recaudación de fondos de la Freedom of the Press Foundation . [192]

Paul Chiusano sugirió que Heartbleed puede haber sido resultado de una economía de software fallida. [193]

La respuesta colectiva de la industria a la crisis fue la Core Infrastructure Initiative , un proyecto multimillonario anunciado por la Linux Foundation el 24 de abril de 2014 para proporcionar fondos a elementos críticos de la infraestructura de información global. [194] La iniciativa pretende permitir que los desarrolladores principales trabajen a tiempo completo en sus proyectos y paguen auditorías de seguridad, infraestructura de hardware y software, viajes y otros gastos. [195] OpenSSL es candidato a convertirse en el primer destinatario de la financiación de la iniciativa. [194]

Después del descubrimiento, Google creó el Proyecto Cero , cuya tarea es encontrar vulnerabilidades de día cero para ayudar a proteger la Web y la sociedad. [196] [197]

Referencias

  1. ^ McKenzie, Patrick (9 de abril de 2014). "Lo que Heartbleed puede enseñar a la comunidad OSS sobre marketing". Kalzumeus . Archivado desde el original el 20 de diciembre de 2017 . Consultado el 8 de febrero de 2018 .
  2. ^ Biggs, John (9 de abril de 2014). «Heartbleed, el primer error de seguridad con un logotipo genial». TechCrunch . Archivado desde el original el 11 de febrero de 2018. Consultado el 8 de febrero de 2018 .
  3. ^ abcde "Heartbleed Bug". 11 de octubre de 2023. Archivado desde el original el 7 de abril de 2014 . Consultado el 9 de abril de 2014 .
  4. ^ Pitkänen, Perttu (9 de abril de 2014). "Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä" [Así descubrieron unos investigadores finlandeses una grave fuga en el corazón de Internet]. Ilta-Sanomat (en finlandés) . Consultado el 11 de octubre de 2023 .
  5. ^ "Aviso de seguridad: vulnerabilidad Heartbleed de OpenSSL". Cyberoam . 11 de abril de 2014. Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
  6. ^ Limer, Eric (9 de abril de 2014). «Cómo funciona Heartbleed: el código detrás de la pesadilla de seguridad de Internet». Gizmodo . Archivado desde el original el 11 de noviembre de 2014. Consultado el 24 de noviembre de 2014 .
  7. ^ ab "CVE-2014-0160". Vulnerabilidades y exposiciones comunes . Mitre. Archivado desde el original el 24 de enero de 2018 . Consultado el 8 de febrero de 2018 .
  8. ^ "CWE-126: Buffer Over-read (3.0)". Vulnerabilidades y exposiciones comunes . Mitre . 18 de enero de 2018. Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
  9. ^ "AL14-005: vulnerabilidad Heartbleed de OpenSSL". Boletines de seguridad cibernética . Seguridad Pública de Canadá . 11 de abril de 2014. Archivado desde el original el 8 de febrero de 2018. Consultado el 8 de febrero de 2018 .
  10. ^ "Añadir comprobación de límites de extensión de latidos". git.openssl.org . OpenSSL . Consultado el 5 de marzo de 2019 .
  11. ^ Pretorius, Tracey (10 de abril de 2014). «Microsoft Services no se ve afectado por la vulnerabilidad «Heartbleed» de OpenSSL». Microsoft . Archivado desde el original el 8 de febrero de 2018 . Consultado el 8 de febrero de 2018 .
  12. ^ Leyden, John (20 de mayo de 2014). "AVG en Heartbleed: es peligroso hacerlo solo. Prueba esta (una herramienta de AVG)". The Register . Archivado desde el original el 23 de enero de 2018. Consultado el 8 de febrero de 2018 .
  13. ^ ab Graham, Robert (21 de junio de 2014). «300.000 servidores vulnerables a Heartbleed dos meses después». Errata Security. Archivado desde el original el 23 de junio de 2014. Consultado el 22 de junio de 2014 .
  14. ^ ab Shodan (23 de enero de 2017). «Heartbleed Report (2017-01)». shodan.io. Archivado desde el original el 23 de enero de 2017. Consultado el 10 de julio de 2019 .
  15. ^ ab Schwartz, Mathew J. (30 de enero de 2017). "Heartbleed Lingers: Nearly 180,000 Servers Still Vulnerable" (El sangrado persiste: casi 180 000 servidores siguen siendo vulnerables). Bank Info Security. Archivado desde el original el 11 de julio de 2019. Consultado el 10 de julio de 2019 .
  16. ^ de Mac Vittie, Lori (2 de febrero de 2017). «Recordatorio amistoso: la seguridad de las aplicaciones en la nube es su responsabilidad». F5 Labs. Archivado desde el original el 11 de julio de 2019. Consultado el 10 de julio de 2019 .
  17. ^ ab Carey, Patrick (10 de julio de 2017). "Heartbleed's Heartburn: Why a 5 Year Old Vulnerability Continues to Bite" (La acidez de corazón de Heartbleed: por qué una vulnerabilidad de hace 5 años sigue afectando). The Security Ledger. Archivado desde el original el 11 de julio de 2019. Consultado el 10 de julio de 2019 .
  18. Shodan (11 de julio de 2019). «[2019] Heartbleed Report». Shodan . Archivado desde el original el 11 de julio de 2019 . Consultado el 11 de julio de 2019 .
  19. ^ Seggelmann, Robin; Tuexen, Michael; Williams, Michael (febrero de 2012). Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) Heartbeat Extension. IETF . doi : 10.17487/RFC6520 . ISSN  2070-1721. RFC 6520 . Consultado el 8 de febrero de 2018 .
  20. ^ ab Grubb, Ben (11 de abril de 2014). "El hombre que introdujo la grave falla de seguridad 'Heartbleed' niega haberla insertado deliberadamente". The Sydney Morning Herald .[ enlace muerto permanente ]
  21. ^ "#2658: [PARCHE] Agregar latidos TLS/DTLS". OpenSSL. 2011. Archivado desde el original el 8 de agosto de 2017. Consultado el 13 de abril de 2014 .
  22. ^ "Conozca al hombre que creó el error que casi destruyó Internet". Globe and Mail . 11 de abril de 2014. Archivado desde el original el 4 de enero de 2018. Consultado el 27 de agosto de 2017 .
  23. ^ Goodin, Dan (8 de abril de 2014). «Un error criptográfico crítico en OpenSSL abre dos tercios de la Web a las escuchas clandestinas». Ars Technica . Archivado desde el original el 5 de julio de 2017. Consultado el 14 de junio de 2017 .
  24. ^ "Mark J Cox – #Heartbleed". Archivado desde el original el 16 de abril de 2014. Consultado el 12 de abril de 2014 .
  25. ^ Pitkänen, Perttu (10 de abril de 2014). "Oululaiset sorvasivat nimen ja logon: Näin superbugi tuotteistettiin" [La gente de Oulu cambió el nombre y el logo: Así se produjo la superbacteria]. Ilta-Sanomat (en finlandés) . Consultado el 11 de octubre de 2023 .
  26. ^ Dewey, Caitlin. "¿Por qué se le llama 'Heartbleed Bug'?". Archivado desde el original el 9 de octubre de 2014. Consultado el 25 de noviembre de 2014 .
  27. ^ Lee, Timothy B. (10 de abril de 2014). «¿Quién descubrió la vulnerabilidad?». Vox . Archivado desde el original el 5 de diciembre de 2017. Consultado el 4 de diciembre de 2017 .
  28. ^ Lee, Ariana (13 de abril de 2014). "Cómo Codenomicon encontró el error Heartbleed que ahora está plagando Internet". ReadWrite . Archivado desde el original el 5 de septiembre de 2017 . Consultado el 4 de diciembre de 2017 . Descubierto de forma independiente por el ingeniero de Google Neel Mehta y la empresa de seguridad finlandesa Codenomicon, Heartbleed ha sido llamado "uno de los problemas de seguridad más graves que han afectado a la web moderna".
  29. ^ "Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - investigadores transl/finlandeses encontraron una fuga grave en el corazón de Internet". 10 de abril de 2014. Archivado desde el original el 4 de noviembre de 2014 . Consultado el 13 de abril de 2014 .
  30. ^ Mutton, Paul (8 de abril de 2014). «Medio millón de sitios web de gran confianza vulnerables al error Heartbleed». Netcraft . Archivado desde el original el 19 de noviembre de 2014. Consultado el 24 de noviembre de 2014 .
  31. ^ Perlroth, Nicole; Hardy, Quentin (11 de abril de 2014). «La falla de Heartbleed podría llegar a los dispositivos digitales, dicen los expertos». The New York Times . Archivado desde el original el 28 de abril de 2019. Consultado el 27 de febrero de 2017 .
  32. ^ Chen, Brian X. (9 de abril de 2014). "Preguntas y respuestas sobre Heartbleed: un defecto que las masas pasaron por alto". The New York Times . Archivado desde el original el 12 de abril de 2014. Consultado el 10 de abril de 2014 .
  33. ^ Wood, Molly (10 de abril de 2014). "Los expertos dicen que una falla obliga a modificar las contraseñas". The New York Times . Archivado desde el original el 19 de octubre de 2017. Consultado el 27 de febrero de 2017 .
  34. ^ Manjoo, Farhad (10 de abril de 2014). «Un duro recordatorio para los usuarios: a medida que la Web crece, se vuelve menos segura». The New York Times . Archivado desde el original el 24 de febrero de 2018. Consultado el 27 de febrero de 2017 .
  35. ^ Zhu, Yan (8 de abril de 2014). «Why the Web Needs Perfect Forward Secrecy More Than Ever» (Por qué la Web necesita más que nunca el secreto perfecto hacia adelante). Electronic Frontier Foundation . Archivado desde el original el 20 de diciembre de 2017. Consultado el 10 de abril de 2014 .
  36. ^ Goodin, Dan (8 de abril de 2014). «Un error crítico de cifrado expone Yahoo Mail y otras contraseñas al estilo de la ruleta rusa». Ars Technica. Archivado desde el original el 14 de julio de 2017. Consultado el 14 de junio de 2017 .
  37. ^ "Schneier on Security: Heartbleed". Schneier on Security . 11 de abril de 2014. Archivado desde el original el 23 de diciembre de 2017. Consultado el 10 de abril de 2014 .
  38. ^ Steinberg, Joseph (10 de abril de 2014). «Vulnerabilidad masiva de seguridad en Internet: esto es lo que debe hacer». Forbes . Archivado desde el original el 4 de enero de 2018. Consultado el 29 de agosto de 2017 .
  39. ^ Kelion, Leo (11 de abril de 2014). «El gobierno de Estados Unidos advierte del peligro del virus Heartbleed». BBC News . Archivado desde el original el 6 de diciembre de 2018. Consultado el 21 de junio de 2018 .
  40. ^ ab «Error de OpenSSL CVE-2014-0160». Proyecto Tor. 7 de abril de 2014. Archivado desde el original el 10 de julio de 2017. Consultado el 9 de abril de 2014 .
  41. ^ Grubb, Ben (14 de abril de 2014). «Cronología de la divulgación de Heartbleed: quién sabía qué y cuándo». The Sydney Morning Herald . Archivado desde el original el 25 de noviembre de 2014. Consultado el 25 de noviembre de 2014 .
  42. ^ "heartbeat_fix". Archivado desde el original el 19 de noviembre de 2018 . Consultado el 14 de abril de 2014 .
  43. ^ ab «"lista completa de cambios" (Git – openssl.git/commitdiff)». The OpenSSL Project. 7 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
  44. ^ "El tsunami de revocación de certificados Heartbleed aún no ha llegado". Netcraft . 11 de abril de 2014. Archivado desde el original el 29 de mayo de 2014 . Consultado el 24 de abril de 2014 .
  45. ^ Mutton, Paul (9 de mayo de 2014). "Las claves no se modificaron en muchos certificados de reemplazo de Heartbleed". Netcraft . Archivado desde el original el 27 de agosto de 2016. Consultado el 11 de septiembre de 2016 .
  46. ^ Kerner, Sean Michael (10 de mayo de 2014). "Heartbleed sigue siendo una amenaza para cientos de miles de servidores". eWeek . Archivado desde el original el 11 de mayo de 2014.
  47. ^ Prince, Matthew (17 de abril de 2014). "Los costos ocultos de Heartbleed". Cloudflare . Archivado desde el original el 30 de abril de 2016.
  48. ^ Evans, Pete (14 de abril de 2014). "Heartbleed bug: 900 SINs robbery from Revenue Canada" (Error de Heartbleed: 900 SIN robados de la Agencia Tributaria de Canadá). CBC News . Archivado desde el original el 14 de marzo de 2018. Consultado el 4 de noviembre de 2014 .Algunos de los detalles están en el vídeo enlazado desde la página.
  49. ^ "Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug" (La Agencia Tributaria de Canadá pospone la fecha límite para presentar impuestos hasta el 5 de mayo tras el error Heartbleed). 14 de abril de 2014. Archivado desde el original el 4 de noviembre de 2014. Consultado el 4 de noviembre de 2014 .
  50. ^ Thibedeau, Hannah (16 de abril de 2014). "La RCMP acusa a la policía de cometer un error en el sistema Heartbleed tras una infracción del SIN". CBC News . Archivado desde el original el 28 de octubre de 2014. Consultado el 4 de noviembre de 2014 .
  51. ^ "El caso del hackeo de Heartbleed ve el primer arresto en Canadá". BBC News . 16 de abril de 2014. Archivado desde el original el 23 de mayo de 2018 . Consultado el 21 de junio de 2018 .
  52. ^ ab Kelion, Leo (14 de abril de 2014). «Los ataques a Heartbleed afectan a Mumsnet y a la agencia tributaria de Canadá». BBC News . Archivado desde el original el 29 de noviembre de 2017. Consultado el 21 de junio de 2018 .
  53. ^ "Mumsnet y Heartbleed tal como sucedieron". Mumsnet . Archivado desde el original el 29 de diciembre de 2017 . Consultado el 17 de abril de 2014 .
  54. ^ Ward, Mark (29 de abril de 2014). «Heartbleed utilizado para descubrir datos de cibercriminales». BBC News . Archivado desde el original el 14 de mayo de 2018. Consultado el 21 de junio de 2018 .
  55. ^ Lawler, Richard (11 de abril de 2014). «Cloudflare Challenge demuestra que el «escenario más desfavorable» para Heartbleed es realmente posible». Engadget . Archivado desde el original el 29 de diciembre de 2017. Consultado el 29 de agosto de 2017 .
  56. ^ "El desafío Heartbleed". CloudFlare . 2014. Archivado desde el original el 12 de abril de 2014.
  57. ^ Robertson, Jordan (16 de abril de 2014). «Los piratas informáticos de China pierden poco tiempo en explotar Heartbleed». The Sydney Morning Herald . Archivado desde el original el 28 de diciembre de 2017. Consultado el 16 de abril de 2020 .
  58. ^ Frizell, Sam (20 de agosto de 2014). «Informe: se utilizó una falla devastadora de Heartbleed en un ataque al hospital». Time . Archivado desde el original el 7 de octubre de 2014. Consultado el 7 de octubre de 2014 .
  59. ^ Cipriani, Jason (9 de abril de 2014). «Error de Heartbleed: compruebe qué sitios han recibido parches». CNET . Archivado desde el original el 17 de abril de 2020. Consultado el 16 de abril de 2020 .
  60. ^ Gallagher, Sean (9 de abril de 2014). «La vulnerabilidad Heartbleed puede haber sido explotada meses antes del parche». Ars Technica . Archivado desde el original el 3 de marzo de 2017 . Consultado el 14 de junio de 2017 .
  61. ^ Eckersley, Peter (10 de abril de 2014). "Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?" [Salvaje de corazón: ¿las agencias de inteligencia usaban Heartbleed en noviembre de 2013?]. Eff.org. Archivado desde el original el 5 de diciembre de 2014. Consultado el 25 de noviembre de 2014 .
  62. ^ Graham, Robert (9 de abril de 2014). "No, no estábamos escaneando en busca de hemorragias auditivas antes del 7 de abril". Errata Security. Archivado desde el original el 16 de octubre de 2017. Consultado el 10 de abril de 2014 .
  63. ^ Riley, Michael (12 de abril de 2014). "NSA Said to Exploit Heartbleed Bug for Intelligence for Years" (Se dice que la NSA aprovechará el error Heartbleed para obtener información durante años). Bloomberg . Archivado desde el original el 11 de abril de 2014. Consultado el 7 de marzo de 2017 .
  64. ^ Molina, Brett. «Informe: la NSA explotó Heartbleed durante años». USA Today . Archivado desde el original el 11 de abril de 2014. Consultado el 11 de abril de 2014 .
  65. ^ Riley, Michael. «NSA explotó el error Heartbleed durante dos años para reunir información, según las fuentes». Financial Post . Archivado desde el original el 11 de abril de 2014. Consultado el 11 de abril de 2014 .
  66. ^ "Declaración sobre la noticia de Bloomberg News de que la NSA conocía la falla 'Heartbleed bug' y la utilizaba regularmente para reunir información crítica". Agencia de Seguridad Nacional . 11 de abril de 2014. Archivado desde el original el 27 de diciembre de 2017. Consultado el 13 de abril de 2014 .
  67. ^ Hosenball, Mark; Dunham, Will (11 de abril de 2014). «La Casa Blanca y las agencias de espionaje niegan que la NSA haya explotado el error 'Heartbleed'». Reuters . Archivado desde el original el 15 de abril de 2014. Consultado el 1 de julio de 2017 .
  68. ^ Zetter, Kim. "El gobierno de Estados Unidos insiste en que no almacena exploits de día cero para hackear a los enemigos". Wired . wired.com. Archivado desde el original el 29 de noviembre de 2014 . Consultado el 25 de noviembre de 2014 .
  69. ^ Hunt, Troy (9 de abril de 2014). "Todo lo que necesita saber sobre el error Heartbleed SSL". Troyhunt . Archivado desde el original el 11 de abril de 2014. Consultado el 11 de abril de 2014 .
  70. ^ "git.openssl.org Git – openssl.git/log". git.openssl.org . Archivado desde el original el 15 de abril de 2014 . Consultado el 25 de noviembre de 2014 .
  71. ^ "Discusiones de la comunidad de Spiceworks". community.spiceworks.com. Archivado desde el original el 15 de abril de 2014. Consultado el 11 de abril de 2014 .
  72. ^ "OpenSSL Security Advisory [07 Apr 2014]". The OpenSSL Project . 7 de abril de 2014. Archivado desde el original el 8 de abril de 2014 . Consultado el 9 de abril de 2014 .
  73. ^ "Versiones y vulnerabilidades de OpenSSL [9 de abril de 2014]". Comodo . Archivado desde el original el 5 de julio de 2014 . Consultado el 9 de abril de 2014 .
  74. ^ "Los usuarios de Cyberoam no deben sufrir por el exploit Heartbleed". cyberoam.com. Archivado desde el original el 15 de abril de 2014. Consultado el 11 de abril de 2014 .
  75. ^ "tls1_process_heartbeat [9 de abril de 2014]". Archivado desde el original el 26 de agosto de 2014 . Consultado el 10 de abril de 2014 .
  76. ^ "¿Por qué Heartbleed es peligroso? Explotación de CVE-2014-0160". IPSec.pl. 2014. Archivado desde el original el 8 de abril de 2014. Consultado el 9 de abril de 2014 .
  77. ^ Graham-Cumming, John (28 de abril de 2014). "Buscando al principal sospechoso: cómo Heartbleed filtró claves privadas". CloudFlare. Archivado desde el original el 29 de diciembre de 2017. Consultado el 7 de junio de 2014 .
  78. ^ Judge, Kevin. "Servidores vulnerables a Heartbleed [14 de julio de 2014]". Archivado desde el original el 26 de agosto de 2014 . Consultado el 25 de agosto de 2014 .
  79. ^ Rainie, Lee; Duggan, Maeve (30 de abril de 2014). "Heartbleed's Impact". Pew Research Internet Project . Pew Research Center . p. 2. Archivado desde el original el 28 de diciembre de 2017 . Consultado el 22 de mayo de 2014 .
  80. ^ Bradley, Tony (14 de abril de 2014). «Reverse Heartbleed pone a su PC y dispositivos en riesgo de ataque OpenSSL». PC World . IDG Consumer & SMB. Archivado desde el original el 2 de diciembre de 2016. Consultado el 10 de mayo de 2014 .
  81. ^ ab Arthur, Charles (15 de abril de 2014). «Heartbleed hace vulnerables a 50 millones de teléfonos Android, según muestran los datos». The Guardian . Guardian News and Media Limited. Archivado desde el original el 19 de marzo de 2016 . Consultado el 14 de diciembre de 2016 .
  82. ^ "Security Now 451". Twit.Tv. Archivado desde el original el 19 de abril de 2014. Consultado el 19 de abril de 2014 .
  83. ^ Ramzan, Zulfikar (24 de abril de 2014). «'Reverse Heartbleed' puede atacar a PC y teléfonos móviles». Revista SC . Haymarket Media, Inc. Archivado desde el original el 6 de octubre de 2016. Consultado el 10 de mayo de 2014 .
  84. ^ ab "Vulnerabilidad de la extensión Heartbeat de OpenSSL en varios productos de Cisco". Cisco Systems. 9 de abril de 2014. Archivado desde el original el 29 de diciembre de 2017. Consultado el 8 de mayo de 2014 .
  85. ^ "heartbleed-masstest: Descripción general". GitHub . Archivado desde el original el 1 de junio de 2014 . Consultado el 19 de abril de 2014 .
  86. ^ Cipriani, Jason (10 de abril de 2014). "¿Qué sitios han corregido el error Heartbleed?". CNET . Archivado desde el original el 11 de abril de 2014. Consultado el 10 de abril de 2014 .
  87. ^ "Preguntas frecuentes sobre Heartbleed: Akamai Systems Patched". Akamai Technologies . 8 de abril de 2014. Archivado desde el original el 8 de abril de 2014. Consultado el 9 de abril de 2014 .
  88. ^ "Servicios de AWS actualizados para solucionar vulnerabilidad de OpenSSL". Amazon Web Services . 8 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 9 de abril de 2014 .
  89. ^ "Estimados lectores, por favor cambien las contraseñas de sus cuentas Ars lo antes posible". Ars Technica. 8 de abril de 2014. Archivado desde el original el 18 de enero de 2017. Consultado el 14 de junio de 2017 .
  90. ^ "Ya se han completado todas las actualizaciones de Heartbleed". Blog de BitBucket. 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014 .
  91. ^ "Cómo mantener su cuenta de BrandVerity a salvo del error Heartbleed". Blog de BrandVerity. 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014 .
  92. ^ @freenodestaff (8 de abril de 2014). "Hemos tenido que reiniciar un montón de servidores debido a una vulnerabilidad de seguridad de openssl, que es/era muy ruidosa. ¡Lo sentimos mucho!" ( Tweet ) – vía Twitter .
  93. ^ "Seguridad: vulnerabilidad Heartbleed". GitHub . 8 de abril de 2014. Archivado desde el original el 10 de abril de 2014 . Consultado el 9 de abril de 2014 .
  94. ^ "IFTTT dice que 'ya no es vulnerable' a Heartbleed". LifeHacker . 8 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
  95. ^ "El error Heartbleed y el Archivo". Blogs de Internet Archive . 9 de abril de 2014. Consultado el 14 de abril de 2014 .
  96. ^ @KrisJelbring (8 de abril de 2014). "Si iniciaste sesión en alguno de nuestros juegos o sitios web en las últimas 24 horas usando tu nombre de usuario y contraseña, te recomiendo que cambies tu contraseña" ( Tweet ) . Consultado el 14 de abril de 2014 a través de Twitter .
  97. ^ "El error generalizado 'Heartbleed' de OpenSSL se ha corregido en PeerJ". PeerJ . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 9 de abril de 2014 .
  98. ^ "¿El problema de Heartbleed afectó a Pinterest?". Centro de ayuda de Pinterest . Archivado desde el original el 21 de abril de 2014. Consultado el 20 de abril de 2014 .
  99. ^ "Heartbleed Defeated". Prezi . Archivado desde el original el 5 de junio de 2014. Consultado el 13 de abril de 2014 .
  100. ^ "Te recomendamos que cambies tu contraseña de Reddit". Reddit . 14 de abril de 2014. Archivado desde el original el 15 de abril de 2014 . Consultado el 14 de abril de 2014 .
  101. ^ "ANUNCIOS IMPORTANTES DE LOS CREADORES DE CHILI". Archivado desde el original el 28 de julio de 2013 . Consultado el 13 de abril de 2014 .
  102. ^ Codey, Brendan (9 de abril de 2014). «Actualización de seguridad: vamos a cerrar la sesión de todos hoy, aquí explicamos el motivo». SoundCloud . Archivado desde el original el 13 de abril de 2014. Consultado el 9 de abril de 2014 .
  103. ^ "Respuesta de SourceForge a Heartbleed". SourceForge . 10 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 10 de abril de 2014 .
  104. ^ "Heartbleed". SparkFun . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
  105. ^ "Heartbleed". Stripe (empresa) . Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014 .
  106. ^ "Personal de Tumblr: Actualización de seguridad urgente". 8 de abril de 2014. Archivado desde el original el 9 de abril de 2014 . Consultado el 9 de abril de 2014 .
  107. ^ Hern, Alex (9 de abril de 2014). «Heartbleed: no se apresure a actualizar las contraseñas, advierten los expertos en seguridad». The Guardian . Archivado desde el original el 3 de enero de 2017. Consultado el 14 de diciembre de 2016 .
  108. ^ ab Grossmeier, Greg (8 de abril de 2014). «[Wikitech-l] Reenvío: Precaución de seguridad: restablecimiento de todas las sesiones de usuario hoy». Fundación Wikimedia . Archivado desde el original el 18 de junio de 2014. Consultado el 9 de abril de 2014 .
  109. ^ Grossmeier, Greg (10 de abril de 2014). «Respuesta de Wikimedia a la vulnerabilidad de seguridad «Heartbleed»». Blog de la Fundación Wikimedia . Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014 .
  110. ^ "Wunderlist y la vulnerabilidad Heartbleed en OpenSSL". 10 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
  111. ^ "Las preocupaciones de seguridad llevan a la agencia tributaria a cerrar el sitio web". CTV News . 9 de abril de 2014. Archivado desde el original el 18 de enero de 2021 . Consultado el 9 de abril de 2014 .
  112. ^ "Heartbleed: los servicios tributarios canadienses vuelven a estar en línea". CBC News . Archivado desde el original el 25 de abril de 2018 . Consultado el 14 de abril de 2014 .
  113. ^ Ogrodnik, Irene (14 de abril de 2014). «900 SIN robados debido a un error Heartbleed: Agencia Tributaria de Canadá | Globalnews.ca». globalnews.ca . Global News. Archivado desde el original el 4 de mayo de 2019 . Consultado el 4 de mayo de 2019 .
  114. ^ Seglins, Dave (3 de diciembre de 2014). "CRA Heartbleed hack: Stephen Solis-Reyes enfrenta más cargos". cbc.ca . CBC News. Archivado desde el original el 4 de mayo de 2019 . Consultado el 4 de mayo de 2019 .
  115. ^ "El sitio web de Statistics Canada fue hackeado por un atacante desconocido". Vice – Motherboard . Archivado desde el original el 24 de diciembre de 2018 . Consultado el 23 de diciembre de 2018 .
  116. ^ Fiegerman, Seth (14 de abril de 2014). "El efecto Heartbleed: los servicios de contraseñas están en su mejor momento". Mashable . Archivado desde el original el 16 de octubre de 2017 . Consultado el 28 de abril de 2014 .
  117. ^ "LastPass y el error Heartbleed". LastPass . 8 de abril de 2014. Archivado desde el original el 18 de diciembre de 2017 . Consultado el 28 de abril de 2014 .
  118. ^ "[tor-relays] Rechazando 380 claves de protección/salida vulnerables". Lists.torproject.org. 16 de abril de 2014. Archivado desde el original el 19 de abril de 2014 . Consultado el 19 de abril de 2014 .
  119. ^ "Noticias semanales de Tor, 16 de abril de 2014 | El blog de Tor". Blog.torproject.org. Archivado desde el original el 19 de abril de 2014. Consultado el 19 de abril de 2014 .
  120. ^ Gallagher, Sean (17 de mayo de 2012). "Las filas de servidores de retransmisión de la red Tor se redujeron debido al error Heartbleed". Ars Technica. Archivado desde el original el 1 de mayo de 2014. Consultado el 19 de abril de 2014 .
  121. ^ Mimoso, Michael (17 de abril de 2014). "Tor pone en la lista negra los nodos de salida vulnerables al error Heartbleed | Threatpost | La primera parada para noticias de seguridad". Threatpost. Archivado desde el original el 19 de abril de 2014. Consultado el 19 de abril de 2014 .
  122. ^ Younger, Paul (11 de abril de 2014). «Servicios de juegos para PC afectados por Heartbleed y acciones que debes tomar». IncGamers. Archivado desde el original el 15 de abril de 2014. Consultado el 15 de abril de 2014 .
  123. ^ "Comunicación de servidores HP: vulnerabilidad "HeartBleed" de OpenSSL". 18 de abril de 2014. Archivado desde el original el 4 de marzo de 2016.
  124. ^ "Productos FileMaker y el error Heartbleed". 6 de mayo de 2014. Archivado desde el original el 12 de octubre de 2016 . Consultado el 8 de mayo de 2014 .
  125. ^ italovignoli (10 de abril de 2014). «LibreOffice 4.2.3 ya está disponible para descargar». The Document Foundation . Archivado desde el original el 12 de abril de 2014. Consultado el 11 de abril de 2014 .
  126. ^ "CVE-2014-0160". LibreOffice . 7 de abril de 2014. Archivado desde el original el 3 de mayo de 2014 . Consultado el 2 de mayo de 2014 .
  127. ^ "LogMeIn y OpenSSL". LogMeIn . Archivado desde el original el 13 de abril de 2014 . Consultado el 10 de abril de 2014 .
  128. ^ "Boletín de seguridad de McAfee: vulnerabilidad Heartbleed de OpenSSL corregida en productos McAfee". Base de conocimientos de McAfee . 17 de abril de 2014. Archivado desde el original el 16 de abril de 2014. Consultado el 15 de abril de 2014 .
  129. ^ abcde «Error de seguridad de OpenSSL: Heartbleed/CVE-2014-0160». Archivado desde el original el 28 de mayo de 2014. Consultado el 12 de mayo de 2014 .
  130. ^ "Historial de versiones recientes". WinSCP . 14 de abril de 2014. Archivado desde el original el 27 de abril de 2014 . Consultado el 2 de mayo de 2014 .
  131. ^ "Respuesta al problema de seguridad de OpenSSL CVE-2014-0160/CVE-2014-0346 también conocido como: "Heartbleed"". VMware, Inc. Archivado desde el original el 16 de abril de 2014 . Consultado el 17 de abril de 2014 .
  132. ^ "DSA-2896-1 openssl—actualización de seguridad". El proyecto Debian. 7 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 17 de abril de 2014 .
  133. ^ "Aviso de seguridad de Ubuntu USN-2165-1". Canonical, Ltd. 7 de abril de 2014. Archivado desde el original el 13 de abril de 2014 . Consultado el 17 de abril de 2014 .
  134. ^ "Importante: actualización de seguridad de openssl". Red Hat, Inc. 8 de abril de 2014. Archivado desde el original el 18 de abril de 2014 . Consultado el 17 de abril de 2014 .
  135. ^ "Publicación de Karanbir Singh en CentOS-announce". centos.org. 8 de abril de 2014. Archivado desde el original el 14 de abril de 2014 . Consultado el 17 de abril de 2014 .
  136. ^ "Aviso de seguridad de Amazon Linux AMI: ALAS-2014-320". Amazon Web Services, Inc. 7 de abril de 2014. Archivado desde el original el 6 de junio de 2014 . Consultado el 17 de abril de 2014 .
  137. ^ "Los dispositivos Android 4.1.1 son vulnerables al error Heartbleed, según Google". NDTV Convergence. 14 de abril de 2014. Archivado desde el original el 20 de abril de 2014. Consultado el 19 de abril de 2014 .
  138. ^ "Alrededor de 50 millones de teléfonos inteligentes Android aún son vulnerables al error Heartbleed". Fox News. 17 de abril de 2014. Archivado desde el original el 19 de abril de 2014. Consultado el 19 de abril de 2014 .
  139. ^ "Heartbleed: Android 4.1.1 Jelly Bean podría verse seriamente afectado". BGR Media. 16 de abril de 2014. Archivado desde el original el 9 de marzo de 2017. Consultado el 19 de abril de 2014 .
  140. ^ Blaich, Andrew (8 de abril de 2014). "Heartbleed Bug Impacts Mobile Devices". Bluebox. Archivado desde el original el 6 de mayo de 2014.
  141. ^ Snell, Jason (22 de abril de 2014). «Apple lanza una solución para Heartbleed en las estaciones base AirPort». Macworld . Archivado desde el original el 25 de abril de 2020 . Consultado el 16 de abril de 2020 .
  142. ^ Kleinman, Alexis (11 de abril de 2014). «El virus Heartbleed es aún más grave de lo que creíamos: esto es lo que debería hacer». The Huffington Post . Archivado desde el original el 23 de marzo de 2019. Consultado el 16 de abril de 2020 .
  143. ^ ab Yadron, Danny (10 de abril de 2014). "Se encontró un error Heartbleed en enrutadores Cisco y equipos Juniper". Dow Jones & Company, Inc.
  144. ^ "2014-04 Out of Cycle Security Bulletin: Multiple products concerned by OpenSSL "Heartbleed" issue (CVE-2014-0160)" (Boletín de seguridad fuera de ciclo 2014-04: varios productos afectados por el problema "Heartbleed" de OpenSSL (CVE-2014-0160)). Juniper Networks. 14 de abril de 2014. Archivado desde el original el 16 de abril de 2014. Consultado el 19 de abril de 2014 .
  145. ^ "Divulgación de información sobre "Heartbleed" de OpenSSL, ECDSA". Electric Sheep Fencing LLC. 8 de abril de 2014. Archivado desde el original el 2 de mayo de 2014. Consultado el 2 de mayo de 2014 .
  146. ^ "¿OpenVPN afectado por el error OpenSSL CVE-2014-016?". Foro DD-WRT . Archivado desde el original el 26 de febrero de 2017. Consultado el 26 de febrero de 2017 .
  147. ^ "Problema de error Heartbleed". Western Digital . 10 de abril de 2014. Archivado desde el original el 19 de abril de 2014.
  148. ^ Brewster, Tom (16 de abril de 2014). «Heartbleed: el 95% de las herramientas de detección son «defectuosas», afirman los investigadores». The Guardian . Guardian News and Media Limited. Archivado desde el original el 4 de marzo de 2016 . Consultado el 14 de diciembre de 2016 .
  149. ^ "Tripwire SecureScan". Tripwire: tome el control de la seguridad informática y el cumplimiento normativo con el software Tripwire . Archivado desde el original el 16 de abril de 2014. Consultado el 7 de octubre de 2014 .
  150. ^ "AppCheck – escaneo binario estático, de Codenomicon". Archivado desde el original el 17 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
  151. ^ "Análisis de seguridad de Pravail de Arbor Network". Archivado desde el original el 11 de abril de 2014. Consultado el 7 de octubre de 2014 .
  152. ^ "Herramienta de comprobación de Heartbleed de Norton Safeweb". Archivado desde el original el 10 de octubre de 2014. Consultado el 7 de octubre de 2014 .
  153. ^ "Herramienta de prueba de la extensión Heartbleed OpenSSL, CVE-2014-0160". Possible.lv. Archivado desde el original el 11 de abril de 2014. Consultado el 11 de abril de 2014 .
  154. ^ "Pruebe su servidor en busca de Heartbleed (CVE-2014-0160)". Archivado desde el original el 11 de diciembre de 2017 . Consultado el 25 de noviembre de 2014 .
  155. ^ "Centro de seguridad de Cyberoam". Archivado desde el original el 15 de abril de 2014. Consultado el 25 de noviembre de 2014 .
  156. ^ "Critical Watch :: Heartbleed Tester :: CVE-2014-0160". Heartbleed.criticalwatch.com. Archivado desde el original el 14 de abril de 2014. Consultado el 14 de abril de 2014 .
  157. ^ "metasploit-framework/openssl_heartbleed.rb at master". GitHub . Archivado desde el original el 28 de junio de 2015 . Consultado el 25 de noviembre de 2014 .
  158. ^ "Comprobación de vulnerabilidades de Heartbeat en OpenSSL (Heartbleed Checker)". Archivado desde el original el 24 de diciembre de 2014 . Consultado el 25 de noviembre de 2014 .
  159. ^ "Heartbleed Detector: comprueba si tu sistema operativo Android es vulnerable con nuestra aplicación". Lookout Mobile Security . 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014 .
  160. ^ "Comprobador de Heartbleed". LastPass . Archivado desde el original el 10 de abril de 2014 . Consultado el 11 de abril de 2014 .
  161. ^ "Escáner de vulnerabilidades Heartbleed de OpenSSL :: Herramientas de pruebas de penetración en línea | Herramientas de piratería ética". Pentest-tools.com. Archivado desde el original el 13 de abril de 2014. Consultado el 11 de abril de 2014 .
  162. ^ Stafford, Jared (14 de abril de 2014). «heartbleed-poc.py». Red Hat , Inc. Archivado desde el original el 12 de abril de 2014. Consultado el 11 de abril de 2014 .
  163. ^ "Prueba de servidor SSL de Qualys's SSL Labs". Archivado desde el original el 7 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
  164. ^ "Chromebleed". Archivado desde el original el 18 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
  165. ^ "FoxBleed". Archivado desde el original el 12 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
  166. ^ "Diagnóstico SSL". SourceForge . Archivado desde el original el 12 de octubre de 2014. Consultado el 7 de octubre de 2014 .
  167. ^ "CrowdStrike Heartbleed Scanner". 18 de abril de 2014. Archivado desde el original el 11 de octubre de 2014. Consultado el 7 de octubre de 2014 .
  168. ^ Lynn, Samara. "Enrutadores, equipos de red SMB: ¿su dispositivo de red se ve afectado por Heartbleed?". PCMag.com. Archivado desde el original el 24 de abril de 2014. Consultado el 24 de abril de 2014 .
  169. ^ "Informe del sitio de Netcraft". Archivado desde el original el 17 de agosto de 2014 . Consultado el 7 de octubre de 2014 .
  170. ^ "Extensiones de Netcraft". Archivado desde el original el 11 de octubre de 2014 . Consultado el 7 de octubre de 2014 .
  171. ^ Mutton, Paul (24 de junio de 2014). «Netcraft lanza un indicador Heartbleed para Chrome, Firefox y Opera». Netcraft . Archivado desde el original el 11 de julio de 2014 . Consultado el 24 de junio de 2014 .
  172. ^ Mann, Jeffrey (9 de abril de 2014). «Tenable facilita la detección de vulnerabilidades de OpenSSL mediante Nessus y Nessus Perimeter Service». Tenable Network Security. Archivado desde el original el 13 de abril de 2014. Consultado el 11 de abril de 2014 .
  173. ^ "Nmap 6.45 Informal Release". 12 de abril de 2014. Archivado desde el original el 17 de abril de 2014 . Consultado el 23 de abril de 2014 .
  174. ^ "VRT: Heartbleed Memory Disclosure – ¡Actualice OpenSSL ahora!". 8 de abril de 2014. Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
  175. ^ "Blogs | Cómo detectar un exploit Heartbleed anterior". Riverbed. 9 de abril de 2014. Archivado desde el original el 19 de abril de 2014. Consultado el 19 de abril de 2014 .
  176. ^ "Los servidores parcheados siguen siendo vulnerables a Heartbleed OpenSSL | Hayden James". Haydenjames.io. 10 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014 .
  177. ^ "Concienciación sobre la revocación de certificados de seguridad: implementaciones específicas". Gibson Research Corporation. Archivado desde el original el 12 de mayo de 2014. Consultado el 7 de junio de 2014 .
  178. ^ Kerner, Sean Michael (19 de abril de 2014). "Tomará tiempo calcular el verdadero costo de la falla SSL de Heartbleed". eWeek . Archivado desde el original el 10 de febrero de 2020 . Consultado el 24 de abril de 2014 .
  179. ^ abcd A. Wheeler, David (29 de abril de 2014). «Cómo prevenir el próximo Heartbleed». Archivado desde el original el 2 de febrero de 2017. Consultado el 30 de enero de 2017 .
  180. ^ Merkel, Robert (11 de abril de 2014). «Cómo el fallo Heartbleed revela una falla en la seguridad en línea». The Conversation . Archivado desde el original el 17 de abril de 2014. Consultado el 21 de abril de 2014 .
  181. ^ "Re: FYA: http:heartbleed.com". Gmane . Archivado desde el original el 11 de abril de 2014 . Consultado el 11 de abril de 2014 .
  182. ^ "Theo De Raadt's Small Rant On OpenSSL" (Pequeño comentario de Theo De Raadt sobre OpenSSL). Slashdot . Dice. 10 de abril de 2014. Archivado desde el original el 24 de abril de 2014 . Consultado el 22 de abril de 2014 .
  183. ^ Kerner, Sean Michael (22 de abril de 2014). "Después de Heartbleed, OpenSSL se bifurca en LibreSSL". eWeek . TechnologyAdvice . Consultado el 19 de enero de 2021 .
  184. ^ Seltzer, Larry (21 de abril de 2014). «OpenBSD bifurca, poda y corrige OpenSSL». Zero Day . ZDNet . Archivado desde el original el 21 de abril de 2014 . Consultado el 21 de abril de 2014 .
  185. ^ Timson, Lia (11 de abril de 2014). "¿Quién es Robin Seggelmann y su Heartbleed rompió Internet?". The Sydney Morning Herald . Archivado desde el original el 19 de octubre de 2017. Consultado el 16 de abril de 2020 .
  186. ^ Williams, Chris (11 de abril de 2014). «OpenSSL Heartbleed: Bloody nose for open-source bleeding hearts» (La nariz sangrante para los corazones sangrantes de código abierto). The Register . Archivado desde el original el 19 de septiembre de 2016. Consultado el 29 de agosto de 2017 .
  187. ^ Smith, Gerry (10 de abril de 2014). "Cómo se podría haber evitado la peor pesadilla de Internet". The Huffington Post . Archivado desde el original el 19 de julio de 2017. Consultado el 16 de abril de 2020. El error revelado esta semana estaba enterrado dentro de 10 líneas de código y habría sido detectado en una auditoría, según Laurie, que trabaja en el equipo de seguridad de Google.
  188. ^ ab Walsh, John (30 de abril de 2014). "Lo gratuito puede hacerte sangrar". Seguridad de las comunicaciones SSH . Archivado desde el original el 2 de diciembre de 2016. Consultado el 11 de septiembre de 2016 .
  189. ^ Pagliery, Jose (18 de abril de 2014). "Su seguridad en Internet depende de unos pocos voluntarios". CNNMoney . Cable News Network. Archivado desde el original el 7 de agosto de 2020 . Consultado el 3 de agosto de 2020 .
  190. ^ abc Perlroth, Nicole (18 de abril de 2014). «Heartbleed destaca una contradicción en la Web». The New York Times . Archivado desde el original el 8 de mayo de 2014. Consultado el 27 de febrero de 2017 .
  191. ^ Kaminsky, Dan (10 de abril de 2014). "Be Still My Breaking Heart" (Que se quede quieto mi corazón roto). Blog de Dan Kaminsky . Archivado desde el original el 14 de abril de 2014. Consultado el 22 de abril de 2014 .
  192. ^ "Aquí hay otra forma en que la exposición de Heartbleed hizo que Internet fuera más segura". The Daily Dot . 10 de abril de 2014 . Consultado el 25 de enero de 2022 .
  193. ^ Chiusano, Paul (8 de diciembre de 2014). "La economía fallida de nuestros bienes comunes de software y lo que se puede saber al respecto en este momento". Blog de Paul Chiusano . Archivado desde el original el 6 de abril de 2017. Consultado el 3 de noviembre de 2017 .
  194. ^ ab «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware y The Linux Foundation forman una nueva iniciativa para apoyar proyectos críticos de código abierto». The Linux Foundation . 24 de abril de 2014. Archivado desde el original el 25 de abril de 2014. Consultado el 25 de abril de 2014 .
  195. ^ Paul, Ian (24 de abril de 2014). «Tras el paso de Heartbleed, los titanes tecnológicos lanzan un fondo para proyectos cruciales de código abierto». PC World . Archivado desde el original el 25 de abril de 2014. Consultado el 24 de abril de 2014 .
  196. ^ "Google Project Zero tiene como objetivo evitar que el error Heartbleed vuelva a ocurrir". TechRadar . 15 de julio de 2014. Archivado desde el original el 10 de abril de 2017 . Consultado el 9 de abril de 2017 .
  197. ^ Greenberg, Andy (15 de julio de 2014). «Conoce a 'Project Zero', el equipo secreto de hackers de Google que buscan errores». Wired . ISSN  1059-1028 . Consultado el 6 de marzo de 2019 .

Bibliografía

Enlaces externos