Herramientas para detectar Heartbleed

0


En esta pequeña guía vamos a comentar las mejores herramientas y complementos para el navegador, que nos permitirán mantenernos alejados de Heartbleed

El bug o fallo de seguridad de Hearbleed es un extenso problema que afecta a todo y a todos. Solucionarlo puede ser más o menos complicado, dependiendo de nuestra plataforma y habilidad, pero lo que es seguro es que el usuario medio necesita, al menos, saber donde puede estar escondida esta vulnerabilidad para que no complique sus hábitos de navegación.

Lo primero es lo primero: ¿Qué es Heartbleed? Aquí tenéis un completo FAQ en inglés que explica los orígenes de este peligro. También podéis leer algunos de nuestros artículos sobre el tema.

Vamos a repasar un buen número de opciones que nos van a permitir saber (algunas más rápido que otras) si un servicio web está afectado por Heartbleed. No todas las webs (ni mucho menos) estarán afectadas, pero cuanto antes sepamos cuales son, mejor.

SERVICIOS WEB

1. SSL TOOLS

SSL tools es un servicio web que nos permite analizar servidores web, además de servidores de correo electrónico, en busca de Heartbleed.

Análisis de nuestro servidor web mediante SSL Tools

Si hacemos scroll con el ratón podremos observar muchos otros detalles sobre los servidores de la web en cuestión.

Si queremos comprobar el estado de salud de los servidores de correo electrónico, bastará con acceder al botón inferior. Veréis un resultado similar a este, en caso de estar limpios:

Servidores de email comprobados mediante SSL Tools

2. QUALYS SSL LABS TEST

Qulays nos ofrece un test aún más detallado sobre la vulnerabilidad Heartbleed. Basta con acceder a su web desde el enlace superior e introducir la URL deseada en el cuadro de texto. Opcionalmente, podemos marcar la casilla que evita que nuestra web aparezca calificada de forma pública (por defecto).

Servicio de análisis de Heartbleed - Qualys

Tras un par de minutos, aproximadamente, tendremos ante nosotros un detallado informe sobre el estado de los servidores web y de correo asociados a la dirección. También podemos ver la versión de Apache y todos los datos referentes a cifrado, intercambio de claves y Handshakes.

Parte del informe ofrecido por Qualys

El informe se ha recortado dada su longitud.

3. HeartBleed test de Filippo

Filippo.io es un servicio web que nos permite saber si nuestro servidor es vulnerable al bug Heartbleed, además de ofrecernos un estupendo FAQ que nos puede aclarar dudas sobre el fallo.

Como siempre, introducimos la URL deseada.

Análisis de Heartbleed mediante Filippo

El resultado obtenido es el siguiente. Una vez más, limpio de fallos.

Mejor Antivirus no está afectado por Heartbleed

4. LASTPASS Hearbleed Checker

Introducimos la URL deseada para permitir su análisis. Es más rápido que otros servicios.

Analizador de Heartbleed para Lastpass

Sin embargo, en ocasiones ofrece resultados confusos para el usuario y, además, no ha detectado la emisión de un nuevo certificado.

Resultados de Lastpass

EXTENSIONES Y ADDONS

Más recientemente, han ido apareciendo algunas extensiones y complementos para navegadores populares. La ventaja principal que ofrecen es un tiempo reducido para realizar comprobaciones. Basta con un click o dos para saber si una web es segura.

CHROMEBLEED para Chrome

La extensión para Chrome está disponible aquí

La aplicación muestra un icono con un corazón en la barra de menús del navegador. Si accedemos a una página web que resutla vulnerable, aparecerá un popup que nos avisará del peligro. También podremos ver avisos que indican que la página es segura. Esta extensión ha sido diseñada a partir del servicio web de Filippo, que hemos comentado anteriormente. 

El hecho de ver una página web catalogada como “segura” no quiere decir que no haya estado expuesta anteriormente.

Sin embargo, no existen instrucciones sobre su uso, por lo que vamos a deciros como tenéis que configurar la aplicación correctamente y que, de esta forma, podáis ver los avisos de seguridad.

1. Instalad el complemento ChromeBleed desde la url superior. Después, podréis ver como ya aparece el icono con el corazón, al pulsarlo nos indica que el servicio se está ejecutando en segundo plano.

2. Ahora toca acceder al apartado de configuración de Google Chrome, donde pasaremos a configurar la extensión. Es obligatorio marcar la opción “Permitir acceso a URL de archivo“.

Personalizando la extensión Chromebleed

3. Después, accederemos al apartado “Configuración”:

4. La casilla a marcar aquí es “Mostrar todas las notificaciones“. Tened en cuenta que en ciertos casos, los avisos podrían resultar demasiado repetitivos.

Marcamos la casilla necesaria dentro de ChromeBleed

5. Fin de la configuración. Ahora podréis ver un popup similar a este, cuando se trate de una página segura. Si cambia de color (amarillo o rojo) nos indicará el nivel de peligro.

Si navegáis a una nueva página web desde una pestaña previamente abierta, recordad que es necesario pulsar F5 o el botón de recargar página, para que Chromebleed la analice.

HEARTBLEED-Ext para Firefox

Esta extensión está disponible aquí. Hearbleed-Ext funciona de forma muy similar a Chromebleed, colocando un icono con un corazón sobre la barra de menús de nuestro navegador Mozilla. Cuando navegamos, el color del icono cambiará, entre verde para un sitio seguro y amarillo-rojo para una posible vulnerabilidad. 

Heartbleed-Ext para Mozilla Firefox

También hemos observado que en ciertos sitios se ha mantenido de color blanco. Esto significa que el software no era capaz de determinar el estado de la web.

Esta extensión también utiliza el servicio base de Filippo Valsorda, mencionado anteriormente. Es necesario pulsar el botón de “recarga” de página web, si vemos que no se muestra información sobre Heartbleed.

Apps de Trend Micro para PC y smartphone

Recordad que también los móviles deben ser protegidos ante estas amenazas, que además pueden afectar a las aplicaciones de consumo. Os recomendamos revisar esta entrada.

Heartbleed detector Android

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR