Salta el menú de navegació i ves al contingut

EROSKI CONSUMER, el diari del consumidor

Cercador

logotip de fundació

Canals d’EROSKI CONSUMER


Estàs en la següent localització: Portada > Noves tecnologies > Internet i telecomunicacions

Aquest text ha estat traduït per un sistema de traducció automàtica. Més informació, aquí.

Què fer davant les fallades de seguretat a la Xarxa?

La fallada Heartbleed ha posat de manifest la importància d'utilitzar contrasenyes fortes i úniques per cada lloc web

img_heartbleed hd_ 1

A principis d’abril, un grup d’enginyers va localitzar una vulnerabilitat en el codi d’OpenSSL , un programari lliure molt utilitzat per llocs web de tot el món per xifrar dades sensibles dels usuaris, com a contrasenyes, noms o correu electrònic. Empreses com Google, Facebook, Yahoo o PayPal, a més de molts bancs, usen OpenSSL per convertir en segures les comunicacions entre l’usuari i el servidor de la pàgina on accedeix, per la qual cosa ara, després de la fallada denominada Heartbleed, la seva seguretat està en dubte. Aquest article ofereix indicacions sobre com actuar davant Heartbleed i altres fallades de seguretat similars.

Img heartbleed
Imatge: Dmitry Baranovskiy

Un error global

La fallada Heartbleed (cor sagnant en anglès) permet entrar en l’inici de sessió d’altres usuaris, gràcies a uns pocs kilobytes de memòria (64) que el protocol deixa lliures quan s’accedeix a un servidor segur. Aquests bits poden ser utilitzats per activar un programa de claus aleatòries que podria donar amb les de l’usuari. D’aquesta forma, es poden robar les credencials de tercers.
La fallada Heartbleed permet entrar en l’inici de sessió d’altres usuaris

Al mateix temps que s’anunciava la fallada, també es va publicar el pegat per a la seva solució, la qual cosa va portar a moltes empreses a actualitzar les seves llibreries. No obstant això, s’estima que prop d’un milió de servidors usaven alguna de les versions d’OpenSSL amb el “bug” descobert. Algunes signatures de seguretat eleven la incidència a una part important d’Internet. De fet, es considera que Heartbleed és un dels tres majors errors en la història de la Xarxa.

La forma d’aprofitar-se de la fallada és mitjançant l’obtenció aquests 64 kilobytes de la memòria del servidor per, en diferents atacs, fer-se amb porcions de dades. La part bona de la notícia és que un atacant no pot triar a quina part de la memòria accedeix i, per tant, que s’assalti un servidor no significa que aquest vagi a donar-li amb rapidesa les contrasenyes de les persones.

Com sigues si les meves dades estan segures?

Un dels problemes per als usuaris és que no poden saber si les seves dades han estat obtinguts de forma maliciosa per un tercer. Per tant, l’opció més segura és canviar les contrasenyes de tots els serveis que emprin OpenSSL.

L’opció més segura és canviar les contrasenyes de tots els serveis que utilitzin OpenSSL

Algunes plataformes d’Internet han enviat correus electrònics als seus usuaris on se’ls avisa de la fallada i recomana el canvi de contrasenya. No obstant això, no tots els serveis han llançat aquest advertiment. Segons Bloomberg, la NSA (Agència Nacional d’Intel·ligència d’EUA) va estar utilitzant aquesta vulnerabilitat per accedir a informació, encara que això després va ser desmentit per la pròpia NSA en Twitter.

Recomanacions per protegir-se d’Heartbleed

Existeixen algunes eines on line, com LastPass Heartbleed checker o Heartbleed test, que permeten esbrinar si una pàgina web és encara vulnerable a aquesta fallada de seguretat. D’aquesta forma, els usuaris poden comprovar si les seves dades personals estan compromesos.

També existeix una extensió per al navegador Chrome que avisa a la persona si accedeix a una pàgina web vulnerable a Heartbleed.

Però la recomanació més important és canviar la contrasenya de tots els llocs que emprin Open SSL i que hagin estat compromesos. Però com en l’actualitat l’usuari no pot saber quins el van ser, més enllà dels serveis més coneguts de la Xarxa, aquest consell s’estén a tots els serveis d’Internet que utilitzi.

Consells per canviar la contrasenya

Aquesta important fallada de seguretat ha posat de manifest la importància de comptar amb contrasenyes fortes i úniques per cada lloc web. Moltes persones usen la mateixa contrasenya per donar-se d’alta en desenes de pàgines webs a través d’Internet. No obstant això, al moment en què un d’aquests serveis quedi compromès a través d’un atac maliciós, que roba les credencials dels usuaris, també s’exposarà al mateix perill a la resta de llocs on el ciutadà comparteixi la mateixa combinació de correu electrònic i nom d’usuari i contrasenya.
Cal buscar claus de més de vuit dígits i que siguin una combinació alfanumèrica amb signes de teclat

Alguns consells per triar una contrasenya passen per buscar claus de més de vuit dígits i que siguin una combinació alfanumèrica amb signes de teclat. Per assegurar-se que la combinació és correcta, en Internet hi ha diferents generadors de contrasenyes fortes.

Una regla mnemotècnica per generar contrasenyes que puguin recordar-se sense problemes consisteix a pensar en una frase que l’usuari pugui recordar amb facilitat; seleccionar la inicial de cada paraula de la frase; i posar algunes en majúscules, minúscules i nombres per al final afegir alguns caràcters especials. Així, per a la frase “En un lloc de la taca el nom de la qual no vull acordar-me”, la contrasenya podria ser “3udL1MCnNQA$”.

Les contrasenyes generades no cal deixar-les apuntades en text pla en un document de l’ordinador, ja que un accés no autoritzat al dispositiu podria comprometre la seguretat de l’usuari. Per a això, existeixen algunes aplicacions com a 1Password, LastPass o PassLocker, que emmagatzemen i gestionen de forma segura les contrasenyes de tots els serveis on line i aplicacions de l’usuari.

RSS. Sigue informado

Et pot interessar:

Infografies | Fotografies | Investigacions