La vulnerabilidad de OpenSSL llamada HeartBleed es sin lugar a dudas el tema del momento, en un principio se dijo que afectaba a dos terceras partes de Internet, algo totalmente incierto ya que se referían al uso de servidores Apache y NGINX, y no tienen por qué tener activado SSL/TLS, e incluso aunque lo tuvieran activado, es posible que no usaran la extensión heartbeat.
Ayer os enseñamos cómo comprobar si nuestra web es vulnerable a HeartBleed, pasando un escáner online y también a través de la ejecución de un programa en Python.
Un grupo de científicos de la Universidad de Michigan ha ejecutado el programa ZMap sobre todo Internet para comprobar los hosts vulnerables al ataque HeartBleed. En RedesZone ya os hablamos de ZMap en otra ocasión, es un escáner de red de código libre que permite escanear todo el espacio de direcciones IPv4 en apenas 45 minutos. Gracias a este escáner hemos podido saber algunas estadísticas muy interesantes que se recogieron ayer 9 de abril a las 16.00. Os recomendamos visitar nuestro tutorial sobre configurar HTTPS en pfSense para tener mayor seguridad.
Estadísticas HeartBleed el 9 de abril a las 16.00
El 34% de sitios web que se encuentran en el TOP 1 millón del ranking de Alexa soportan cifrado TLS. De estas webs, el 11% son vulnerables, el 27% soportan la extensión heartbeat pero no están afectados y el 61% no soportan la extensión heartbeat por lo que tampoco están afectados.
El escáner de Internet con Zmap ha mostrado que un 6% de todos los hosts que soportan HTTPS son vulnerables, aunque desde ayer un gran número de esos sitios ya han corregido el problema.
En este enlace se puede ver las pruebas realizadas y también los primeros 1.000 sitios vulnerables del ranking de Alexa, y en este otro enlace podéis ver todos los del ranking.