Foro

Esta mañana me han pasado un enlace a una noticia sobre un bug que afecta a la seguridad de infinidad de páginas web. Se recomienda cambiar la contraseña de webs como Facebook, pinterest o servicios como gmail o dropbox....
Umbría está afectada?

http://www.20minutos.es/noticia/2112535/0/heartbleed-fallo-seguridad/webs-afectadas/que-hacer/

Creo que no se usan conexiones seguras (HTTPS) en umbria (tampoco es que tengamos nada que importe mucho proteger como números de tarjetas de crédito y tal), así que no debería afectar.

El heartbleed es una vulnerabilidad (que muchos sitios afirman tener ya solventada) de las librerías SSL que se emplean en las conexiones seguras como las del banco o, en general, cualquiera que tenga https delante de la url. Para identificarlo más fácil: en firefox veo un candado en vez de una bola del mundo delante de la url que es "segura", en chrome veo un candado y el https - ambos en verde - en vez de una página con la esquina doblada.

Tal y como comenta oideun, yo no recuerdo haber visto un https en umbría, así que yo estaría tranquilo a no ser que los cuervos digan lo contrario.

Además, si les hubiera afectado esa vulnerabilidad habría avisado a todo el mundo de que cambien la contraseña. Si no has visto nada de eso es que no ha pasado nada. Yo estaría tranquilo.

Yo por si acaso llevo sin entrar en umbría desde que salió la noticia, y no pienso ni loguearme ni postear nada en foros o partidas hasta que comparezcan los responsables y nos garanticen que la situación está total y absolutamente controlada.

+1 a Enaitz.

Creo que la ironía y el sarcasmo están de más. He planteado una duda, nada más.

No te chines Chuyantir, es costumbre una vez que se resuelve la duda desvirtuar los temas, no es nada personal.

Tal y como comenta oideun, yo no recuerdo haber visto un https en umbría, así que yo estaría tranquilo a no ser que los cuervos digan lo contrario.

Además, si les hubiera afectado esa vulnerabilidad habría avisado a todo el mundo de que cambien la contraseña. Si no has visto nada de eso es que no ha pasado nada. Yo estaría tranquilo.

Anykiller

Pues realmente es muy probable que en el caso de muchos usuarios heartbleed afecte a Umbria: reutilización de contraseñas.

Si tienes en Umbria la misma contraseña que en facebook o google o un largo etcétera, entonces sí deberías cambiarla.

Posteo en foros públicos, juego en partidas con VIPs a los que no conozco y dirijo partidas que al finalizar dejo como públicas. Sería ridículo que me preocupara por esto xDD

Esto no significa que no valore tu aportación, Chuyantir, ni mucho menos. Habrá a quien sí le importe y le afecte, solo que a mí no xD

Primero: Heartbleed no afecta a Umbría porque nuestra versión de OpenSSL es distinta de la versión que tiene la vulnerabilidad. Umbría no utiliza conexiones cifradas de cara a los usuarios pero el sistema de encriptación está activo (para otro tipo de conexiones: ssh, git,...) y podría ser explotado. Pero insisto: NUESTRA VERSIÓN DE OPENSSL NO ES VULNERABLE A HEARTBLEED.

Segundo: Aunque alguien consiguiera entrar a Umbría nunca podría saber vuestra contraseña porque simplemente no las tenemos (y dudo mucho que Facebook o Google almacenen nuestras contraseñas). Sólo vosotros sabéis vuestra contraseña. Para corroborar que la contraseña es correcta lo que hacemos es guardar un cifrado irreversible de vuestra contraseña en la base de datos. Si la cadena que vosotros ponéis como contraseña cuando hacéis login coincide al cifrarla con la que tenemos guardada significa que la contraseña es correcta. Insisto, no se puede obtener vuestra contraseña a partir del cifrado porque este es irreversible.

Segundo: Aunque alguien consiguiera entrar a Umbría nunca podría saber vuestra contraseña porque simplemente no las tenemos (y dudo mucho que Facebook o Google almacenen nuestras contraseñas). Sólo vosotros sabéis vuestra contraseña. Para corroborar que la contraseña es correcta lo que hacemos es guardar un cifrado irreversible de vuestra contraseña en la base de datos. Si la cadena que vosotros ponéis como contraseña cuando hacéis login coincide al cifrarla con la que tenemos guardada significa que la contraseña es correcta. Insisto, no se puede obtener vuestra contraseña a partir del cifrado porque este es irreversible.

Contraseñas cifradas, ¿eh? Explico, lo que se almacena en la base de datos es la contraseña cifrada o encriptada, no la que introducimos para conectarnos. Es decir, aunque accediesen a la BBDD de Umbría, solo verían un galimatías de texto sin sentido porque está encriptado (y no, no se puede averiguar a partir de ella, es cifrado de un solo sentido). No habría forma de averiguar la clave.

Lo que me extraña que que muchas webs hoy en día no cifren las contraseñas (es un riesgo en mi opinión), guardando en la base de datos la contraseña tal cual. Incluso yo aprendiendo a manejar PHP y MySQL me puse a cifrar las contraseñas almacenadas en la base de datos, y no soy un programador. Igual por eso último no debería opinar :P

En fin, tal y como dije, podemos estar tranquilos. De todos modos, nunca hace daño cambiar las contraseñas de vez en cuando.

Se recomienda cambiar la contraseña de webs como Facebook, pinterest o servicios como gmail o dropbox....

Cambiar la contraseña no es suficiente. Hay que cambiarla después de que el servidor haya actualizado sus sistemas (si estaban afectados). Si se cambia antes se hace un pan como unas tortas: es igual de fácil acceder a la nueva clave que a la anterior, si no más. 

Umbría está afectada?

Por más que le doy vueltas, no acabo de entender qué más da. Alguien tiene información privada en Umbría?

Creo que el problema no es tanto tener información delicada en Umbría, si no lo que han comentado anteriormente: reutilización de contraseñas. Si consiguen acceder a tu perfil umbriano, se puede acceder a tu dirección de correo, y con ella rastrear en qué sitios web te has registrado con el mismo. Si utilizas la misma contraseña en varios sitios, puede que tengas un problema...

Lo que me extraña que que muchas webs hoy en día no cifren las contraseñas (es un riesgo en mi opinión), guardando en la base de datos la contraseña tal cual. Incluso yo aprendiendo a manejar PHP y MySQL me puse a cifrar las contraseñas almacenadas en la base de datos, y no soy un programador. Igual por eso último no debería opinar :P

Tengo amistades en los CFSE y les pregunto siempre que cae algo por temas de delitos informáticos, procedimientos de investigación etc, y me sorprendió horrores saber que, con una orden judicial (of course) pueden obtener acceso a, por ejemplo, tu cuenta de correo ¿Cómo? Pues el proveedor (pongamos "blablamail.com" por poner un ejemplo) les da a los agentes TU CONTRASEÑA EN PLANO (sin encriptar) para que ellos puedan logarse también y bichear todo lo posible. Ello quiere decir que dichos proveedores guardan EN PLANO la contraseña (quizá por imperativos legales, que en las series y pelis de USA he pillado más de una vez que la tecnología tiene que ser "seguible" para estos casos).

No tengo ni puta de leyes nacionales, pero si hay algún leguleyo en la sala igual podría responder a la pregunta ¿Hay obligación para ciertos servicios de internet (correo, rrss, etc) a tener la infraestructura necesaria (en este caso, guardar las contraseñas en plano) para facilitar el acceso de cuentas de terceros a las investigaciones (mandato judicial mediante)?

Tengo amistades en los CFSE y les pregunto siempre que cae algo por temas de delitos informáticos, procedimientos de investigación etc, y me sorprendió horrores saber que, con una orden judicial (of course) pueden obtener acceso a, por ejemplo, tu cuenta de correo ¿Cómo? Pues el proveedor (pongamos "blablamail.com" por poner un ejemplo) les da a los agentes TU CONTRASEÑA EN PLANO (sin encriptar) para que ellos puedan logarse también y bichear todo lo posible. Ello quiere decir que dichos proveedores guardan EN PLANO la contraseña (quizá por imperativos legales, que en las series y pelis de USA he pillado más de una vez que la tecnología tiene que ser "seguible" para estos casos).

No tengo ni puta de leyes nacionales, pero si hay algún leguleyo en la sala igual podría responder a la pregunta ¿Hay obligación para ciertos servicios de internet (correo, rrss, etc) a tener la infraestructura necesaria (en este caso, guardar las contraseñas en plano) para facilitar el acceso de cuentas de terceros a las investigaciones (mandato judicial mediante)?

Tiene muchísimo sentido. Tengo curiosidad por saberlo, mira por dónde.

Sobre lo de la reutilización de contraseñas, admito que yo reutilizo algunas, pero para cosas sensibles o importantes como mi email uso una clave diferente y más difícil de sacar por fuerza bruta, y de vez en cuando la cambio (de hecho, a raíz de esto esperé un tiempo a informarme bien y cambié la contraseña).