Què cal fer davant de les fallades de seguretat a la xarxa?
Un grup d’enginyers va localitzar, a començament d’abril, una vulnerabilitat en el codi d’OpenSSL, un programari lliure molt utilitzat per llocs web de tot el món per a xifrar dades sensibles dels usuaris, com ara contrasenyes, noms o correu electrònic. Empreses com Google, Facebook, Yahoo o PayPal, a més de molts bancs, l’utilitzen per convertir en segures les comunicacions entre l’usuari i el servidor de la pàgina on accedeix. Ara, després d’aquesta fallada denominada Heartbleed, la seva seguretat està en dubte. Davant d’aquest fet, convé conèixer una sèrie d’indicacions sobre com cal actuar davant de Heartbleed i d’altres fallades de seguretat similars a la xarxa.
La fallada Heartbleed (‘cor sagnant’, en anglès) permet entrar a l’inici de sessió d’altres usuaris gràcies a uns pocs kilobytes de memòria (64kB) que el protocol deixa lliures quan s’accedeix a un servidor segur. Aquests bits poden ser utilitzats per a activar un programa de claus aleatòries que podria trobar les de l’usuari. La part bona de la notícia és que un atacant no pot triar a quina secció de la memòria accedeix i, per tant, el fet que s’assalti un servidor no significa que aquest li doni amb rapidesa les contrasenyes de les persones.
Al mateix temps que s’anunciava la fallada, també es va publicar el pedaç per a la seva solució, cosa que va portar moltes empreses a actualitzar les llibreries de codis. Tot i això, s’estima que prop d’un milió de servidors feien servir alguna de les versions d’OpenSSL amb aquest tipus de vulnerabilitat o bug descobert. Algunes signatures de seguretat eleven la incidència a una part important d’Internet. De fet, es considera que Heartbleed és un dels tres errors més grans en la història de la xarxa.
Un dels problemes per als usuaris és que no poden saber si les seves dades han estat obtingudes de forma maliciosa per un tercer. Per tant, l’opció més segura és canviar les contrasenyes de tots els serveis que utilitzen OpenSSL.
Algunes plataformes d’Internet han enviat correus electrònics als seus usuaris on se’ls avisa de la fallada i se’ls recomana el canvi de contrasenya. Tot i això, no tots els serveis han fet aquest advertiment. Segons Bloomberg, la NSA (Agència Nacional d’Intel.ligència dels EUA) va utilitzar aquesta vulnerabilitat per accedir a informació, encara que això va ser desmentit després per la mateixa NSA a Twitter.
Hi ha algunes eines en línia, com LastPass Heartbleed Checker o Heartbleed test, que permeten esbrinar si una pàgina web és encara vulnerable a aquesta fallada de seguretat. D’aquesta manera, els usuaris poden comprovar si les seves dades personals estan compromeses. També hi ha una extensió per al navegador Chrome que avisa la persona si accedeix a una pàgina web vulnerable a Heartbleed.
Però la recomanació més important és canviar la contrasenya dels llocs que utilitzen OpenSSL i que hagin estat compromesos. Com que en l’actualitat l’usuari no pot saber quins ho han estat, el consell s’estén a tots els serveis de la xarxa.
Aquesta important fallada de seguretat ha posat de manifest la importància de comptar amb contrasenyes fortes i úniques per a cada lloc web. Moltes persones utilitzen la mateixa contrasenya per a donar-se d’alta en desenes de pàgines web a través d’Internet. Tanmateix, en el moment en què un d’aquests serveis quedi compromès mitjançant un atac maliciós, que roba les credencials dels usuaris, també s’exposarà al mateix perill a la resta de llocs on el ciutadà comparteixi la mateixa combinació de correu electrònic i nom d’usuari i contrasenya.
Alguns consells per a triar una contrasenya passen per buscar claus de més de vuit dígits i que siguin una combinació alfanumèrica amb signes de teclat. Per a assegurar-se que la combinació és correcta, a Internet hi ha diferents generadors de contrasenyes fortes.
Una regla mnemotècnica per a generar contrasenyes que puguin recordar-se sense problemes consisteix a pensar en una frase que l’usuari pugui recordar amb facilitat, seleccionar la inicial de cada paraula de la frase i posar-ne algunes en majúscules, minúscules i nombres per afegir al final alguns caràcters especials. Així, per a la frase “Pel maig, cada dia un raig”, la contrasenya podria ser “Pm5cdu1r@”.
Les contrasenyes generades no s’han de deixar apuntades en text pla en un document de l’ordinador, ja que un accés no autoritzat al dispositiu podria comprometre la seguretat de l’usuari. Per fer-ho, hi ha algunes aplicacions com ara 1Password, LastPass o PassLocker, que emmagatzemen i gestionen de forma segura les contrasenyes de tots els serveis en línia i aplicacions de l’usuari.