Heartbleed

Heartbleed (español: hemorragia de corazón) es un agujero de seguridad de software en la biblioteca de código abierto OpenSSL, solo vulnerable en su versión 1.0.1f, que permite a un atacante leer la memoria de un servidor o un cliente, permitiéndole por ejemplo, conseguir las claves privadas SSL de un servidor^[1]​. Investigaciones de auditorías en un principio creyeron que algunos atacantes podrían haber explotado este error desde al menos cinco meses antes de que fuera descubierto y publicado, pero más tarde se mostraron neutrales con respecto a sus afirmaciones y concluyeron que no podían demostrar este hecho, ya que se observó que otras herramientas podían generar los mismos registros (logs). Sin embargo, tampoco podían negar que no hubiesen sido intentos de ataque^[2]​.

Heartbleed
Información general
Tipo de programa	agujero de seguridad
Vulnerabilidades	CVE-2014-0160
Fecha de descubrimiento	1 de abril de 2014
Descubridor	Neel Mehta
Software afectado	1.0.1f
Enlaces
Sitio web oficial
[editar datos en Wikidata]

El estilo de esta traducción aún no ha sido revisado por terceros. Si eres hispanohablante nativo y no has participado en esta traducción puedes colaborar revisando y adaptando el estilo de esta u otras traducciones ya acabadas.

Historia

Aparición

La extensión Heartbeat para los protocolos Transport Layer Security (TLS) y Datagram Transport Layer Security (DTLS) se propuso como un estándar en febrero del 2012 por el RFC 6520.^[3]​ Esto provee una forma de probar y mantener viva un enlace de comunicación segura sin la necesidad de renegociar la conexión cada vez.

En 2011, uno de los autores del RFC, Robin Seggelmann, en ese tiempo un estudiante de doctorado en la Universidad de Duisburg-Essen, implementó la extensión Heartbeat para OpenSSL. Siguiendo la petición de poner su trabajo en OpenSSL,^[4]​^[5]​^[6]​ su cambio fue revisado por Stephen N. Henson, uno de los cuatro desarrolladores del núcleo de OpenSSL. Henson aparentemente no se dio cuenta del error en la implementación de Seggelmann,^[7]​ e introdujo el código con falla en el repositorio de OpenSSL el 31 de diciembre de 2011. El código vulnerable fue adoptado y usado ampliamente con el lanzamiento de la versión 1.0.1 de OpenSSL el 14 de marzo de 2012. El soporte de Heartbeat estaba habilitado de forma predeterminada, causando que las versiones afectadas fueran vulnerables por defecto.^[8]​^[9]​^[10]​

Descubrimiento

 

Explicación simplificada de "Heartbleed"

De acuerdo con Mark J. Cox de OpenSSL, Neel Mehta (Del equipo de seguridad de Google) reportó un Heartbleed en el 1 de abril de 2014.^[11]​ El bug implicó un severo error en el manejo de memoria en la implementación de la "Transport Layer Security Heartbeat Extension".^[3]​^[12]​ Este defecto pudo ser usado para revelar más de 64 kilobytes de la memoria de la aplicación con cada heartbeat.^[12]​

El bug fue nombrado por un ingeniero en la firma Codenomicon, una empresa finlandesa de ciber seguridad, quien aparte creó el logo y lanzó el dominio Heartbleed.com para explicar el bug al público en general.^[13]​ De acuerdo con la propia empresa, Neel Mehta primero reportó el bug a OpenSSL, pero ambos, Google y Codenomicon, lo descubrieron independientemente.^[8]​ Codenomicon reporta al 3 de abril como su fecha de descubrimiento del bug y su fecha de notificación de NCSC-FI (formalmente conocido como CERT-FI) para coordinación de vulnerabilidades.^[8]​^[14]​ Mehta además felicitó a Codenomicon, sin ir a detalles.^[15]​

The Sydney Morning Herald publicó una línea del tiempo del descubrimiento el 15 de abril, la cual mostraba que algunas organizaciones podrían ser capaces de reparar el bug antes de su publicación. En algunos casos, no está tan claro cómo lo encontraron.^[16]​

Resolución

Bodo Moeller y Adam Langley de Google prepararon la corrección para Heartbleed. El parche resultante, que se añadió al seguimiento de incidencias de Red Hat, con fecha 21 de marzo de 2014.^[17]​ La fecha cronológica siguiente disponible en la evidencia pública es la afirmación de CloudFlare de que ellos solucionaron el defecto en sus sistemas el 31 de marzo de 2014.^[18]​ Stephen N. Henson aplica la corrección al sistema de control de versiones de OpenSSL, el 7 de abril.^[19]​ La primera versión corregida, 1.0.1g, fue lanzada el mismo día.

Despliegue

Al 8 de mayo de 2014, 318 239 servidores web públicos eran todavía vulnerables.^[20]​

Renovación y revocación de certificados

Según Netcraft, alrededor de 30 000 de los más de 500 000 certificados X.509 que podrían haber sido comprometidos debido a Heartbleed habían sido reemitidos al 11 de abril de 2014, aunque menos habían sido revocados.^[21]​

El 9 de mayo de 2014, sólo el 43 % de los sitios web afectados habían reemitido sus certificados de seguridad.^[22]​ Además, el 7 % de los certificados de seguridad reemitidos utilizaron las claves potencialmente comprometidos. «Mediante la reutilización de la misma clave privada, un sitio que se vio afectado por el fallo Heartbleed aún enfrenta exactamente los mismos riesgos que los que aún no lo han reemplazado sus certificados SSL», dijo Netcraft.^[22]​ eWeek dijo, por su parte, Heartbleed «es probable que se mantenga un riesgo durante meses, si no años, por venir».^[22]​

Explotación

La Agencia de Ingresos de Canadá reportó el robo de números de Seguro Social que pertenecen a 900 contribuyentes, y declaró que fueron accedidos a través de un exploit del fallo durante un período de seis horas el 8 de abril de 2014.^[23]​ Cuando el ataque se descubrió, la agencia cerró su sitio web y amplió el plazo de presentación de los contribuyentes 30 de abril al 5 de mayo.^[24]​ La agencia dijo que ofrecerá a todos los afectados con servicios de protección al crédito sin costo alguno. El 16 de abril, la Policía Montada anunció que habían acusado a un estudiante de ingeniería en relación con el robo con "uso no autorizado de una computadora" y de "mal uso en relación a datos".^[25]​^[26]​

En otro incidente, el sitio de crianza de los hijos del Reino Unido Mumsnet tuvo varias cuentas de usuario secuestradas, y se hicieron pasar por su director general.^[27]​ El sitio publicó una explicación de los hechos.^[28]​

A su vez, investigadores anti-malware explotaron Heartbleed para acceder a foros secretos utilizadas por ciberdelincuentes.^[29]​

El 12 de abril de 2014, al menos dos investigadores independientes fueron capaces de robar claves privadas usando este ataque desde un servidor experimental intencionalmente creado a tal fin por CloudFlare.^[30]​^[31]​

Se informó por un profesor de la Universidad de Míchigan que una computadora en China se había utilizado para la piratería y otras actividades maliciosas intentó el 8 de abril de 2014 para explotar Heartbleed para atacar a un servidor de la universidad, que en realidad era un honeypot dejado intencionadamente vulnerable, diseñado para atraer a los ataques que podrían entonces ser estudiados.^[32]​

Posible conocimiento y explotación antes de la divulgación

Muchos sitios web importantes parcharon o desactivaron el fallo en cuestión de días de su anuncio,^[33]​ pero no está claro si los atacantes potenciales sabían de él antes que eso y en qué medida lo fue explotado.

Sobre la base de los exámenes de los registros de auditoría por investigadores, se ha reportado que algunos atacantes podrían haber explotado el defecto durante al menos cinco meses antes del descubrimiento y anuncio.^[34]​^[35]​ Errata Security señaló que un programa no malicioso muy utilizado llamado "Masscan", liberada seis meses antes de la divulgación de Heartbleed, termina abruptamente la conexión en el medio de la negociación de inicio de la misma manera como Heartbleed, generando los mismos mensajes de registro del servidor, y agregó que "Dos cosas nuevas que producen los mismos mensajes de error que puede parecer que los dos están correlacionados, pero por supuesto, no lo están".^[36]​

Según Bloomberg News, dos fuentes de información privilegiada sin nombre le informaron que la Agencia de Seguridad Nacional (NSA) de los Estados Unidos estaba al tanto de la falla desde poco después de su introducción, pero decidieron mantenerlo en secreto, en lugar de informarlo, con el fin de explotarla para sus propios fines.^[37]​^[38]​^[39]​ La NSA ha negado esta afirmación,^[40]​ al igual que Richard A. Clarke, que fue miembro de un grupo consultivo que examinó la política de vigilancia electrónica de los Estados Unidos; le dijo a Reuters el 11 de abril de 2014 que la NSA no había sabido de Heartbleed.^[41]​

Comportamiento

La RFC 6520 Heartbeat Extension prueba los enlaces de comunicación segura TLS/DTLS al permitir que un ordenador en un extremo de una conexión envíe un mensaje de "solicitud de latido de corazón" ("Heartbeat Request"), que consiste en una carga útil, típicamente una cadena de texto, junto con la longitud de dicha carga útil como un entero de 16-bits. El equipo receptor debe entonces enviar la misma carga exacta de vuelta al remitente.

Las versiones afectadas de OpenSSL asignan un búfer de memoria para el mensaje a devolver basado en el campo de longitud en el mensaje de solicitud, sin tener en cuenta el tamaño real de la carga útil de ese mensaje. Debido a esta falla de revisión de los límites apropiados, el mensaje devuelto consta de la carga útil, posiblemente seguido de cualquier otra cosa que sea que esté asignada en el buffer de memoria.

Impacto

Al leer un bloque de memoria arbitrario del servidor web, los atacantes pueden recibir datos importantes, comprometiendo la seguridad del servidor y sus usuarios. Los datos que podrían ser robados incluyen la clave maestra del propio servidor, que puede permitir a los atacantes descifrar el tráfico actual o el almacenado, mediante un ataque pasivo man-in-the-middle (si el servidor y el cliente no usan perfect forward secrecy), o activo si perfect forward secrecy está en uso. El atacante no puede controlar qué datos le son devueltos, aunque por la naturaleza del bug, existe cierta probabilidad de que sean datos usados por la misma biblioteca OpenSSL.

Por lo anterior, el bug puede revelar partes descifradas de las peticiones y respuestas del usuario, incluyendo cualquier tipo de información subida por el usuario a través de la conexión "segura", cookies de sesión y contraseñas, etc., lo que permitiría al atacante suplantar la identidad de otro usuario del servicio. Al hacerse público, cerca del 17 % o medio millón de servidores de seguridad web de Internet certificados por autoridades confiables se creían vulnerables a ser atacados.^{[cita requerida]} La Electronic Frontier Foundation,^[42]​ Ars Technica,^[43]​ y Bruce Schneier^[44]​ catalogaron al bug Heartbleed como "catastrófico".^{[cita requerida]} El columnista de Forbes, Joseph Steinberg, describió al bug como potencialmente "la peor vulnerabilidad encontrada (al menos en términos de su impacto potencial) desde que Internet comenzó a tener tráfico comercial".^[45]​

Sitios web y servicios web

Un analista publicó en GitHub que de los mil sitios más visitados el 8 de abril del 2014, los siguientes presentaban vulnerabilidades: Yahoo!, Imgur, Stack Overflow, Slate, y DuckDuckGo.^[46]​ Los siguientes sitios tienen servicios afectados o hicieron anuncios recomendando a sus usuarios cambiar sus contraseñas en respuesta a este fallo:

Akamai Technologies[47]​ Amazon Web Services[48]​ Ars Technica[49]​ Bitbucket[50]​ BrandVerity[51]​ Freenode[52]​

GitHub[53]​ IFTTT[54]​ Internet Archive[55]​ Mojang[56]​ Mumsnet[27]​ PeerJ[57]​

Pinterest[58]​ Prezi[59]​ Reddit[60]​ Something Awful[61]​ SoundCloud[62]​ SourceForge[63]​

SparkFun[64]​ Stripe[65]​ Tumblr[66]​[67]​ Wattpad[cita requerida] Wikimedia (incluido Wikipedia)[68]​[69]​ Wunderlist[70]​

Aplicaciones de software

• IPCop 2.1.4 fue liberado el 8 de abril de 2014, con una solución para "la biblioteca OpenSSL de la que todo el mundo está hablando".^[71]​
• Según el blog LastPass Password Manager, una prueba estándar lo mostró como vulnerables hasta que fue parchado el 8 de abril^{[cita requerida]}, pero debido a su uso de encriptación adicional y perfect forward security, potenciales ataques no fueron capaces de explotar este error. Aun así, LastPass recomendó a sus usuarios cambiar las contraseñas que LastPass almacena para los sitios web vulnerables.^[72]​
• LibreOffice 4.2.3 se lanzó el 10 de abril de 2014, con un arreglo para CVE 2014-0160.^[73]​
• LogMeIn afirmó haber "actualizado muchos productos y partes de nuestros servicios que se basan en OpenSSL".^[74]​
• Varias aplicaciones de servidor de HP, tales como: HP System Management Homepage (SMH) para Linux y Windows^[75]​

Además, la base de datos Common Vulnerabilities and Exposures, asociada con el Departamento de Seguridad Nacional de EE.UU., informa que las siguientes empresas han tenido su software/productos afectados por Heartbleed:

• McAfee y en especial algunas versiones de software que proporciona una cobertura antivirus para Microsoft Exchange, cortafuegos de software, y McAfee Email and Web Gateway^[76]​
• Productos de la Serie VMware Horizon, emuladores y suites de cloud computing.^[77]​

Servicios de juego, incluyendo Steam, Minecraft, Wargaming, League of Legends, GOG, Origin, SOE, Humble Bundle, y Path of Exile se vieron afectados y fueron reparados.^[78]​

Sistemas operativos

• Android 4.1.1 (Jelly Bean), usado en varios teléfonos inteligentes^[79]​

• Firmware para algunas estaciones base AirPort^[80]​

• Firmware para routers Cisco^[81]​^[82]​^[83]​

• Firmware para routers Juniper^[82]​^[84]​

• Firmware de Windows 10 es el principal creador de "Heartbleed"

(El método más efectivo para desactivar el Heartbleed ha sido estudiado por la página Rigthxd MyF20.13)

• Firmware para la familia de productos My Cloud de Western Digital^[85]​

Servicios de detección de vulnerabilidad

Varios servicios se han puesto a disposición para probar si Heartbleed afecta a un sitio determinado. Sin embargo, muchos servicios se han afirmado ser ineficaces para detectar el error. [134] Las herramientas disponibles incluyen:

• Tripwire SecureScan^[86]​
• AppCheck - revisión de binarios estáticos, de Codenomicon^[87]​
• Arbor Network's Pravail Security Analytics^[88]​
• Herramienta de revisión Norton Safeweb Heartbleed^[89]​
• Herramienta de prueba de Heartbleed de una compañía de seguridad TI europea^[90]​
• Escáner Heartbleed por el criptólogo italiano Filippo Valsorda^[91]​
• Prueba de vulnerabilidad de Heartbleed de Cyberoam^[92]​
• Critical Watch Free Online Heartbleed Tester^[93]​
• Módulo escáner Heartbleed de Metasploit^[94]​
• Escáner Heartbleed de servidores de Rehmann^[95]​
• Detector Heartbleed de Lookout Mobile Security, una aplicación para dispositivos Android que determina la versión OpenSSL del dispositivo e indica si es el heartbeat vulnerable está habilitado^[96]​[1]
• Heartbleed checker por LastPass^[97]​
• Escáner de red para vulnerabilidad Heartbleed de Pentest-Tools.com^[98]​
• Escáner oficial de Red Hat escrita en Python^[99]​
• Pruebas de servidor SSL de Qualys SSL Labs^[100]​ la cual no solo revisa por el error Heartbleed, sino que también encuentra otros errores de implementación de SSL/TLS.
• Extensiones de navegador, como Chromebleed^[101]​ y FoxBleed^[102]​
• SSL Diagnos^[103]​
• CrowdStrike Heartbleed Scanner^[104]​ - revisa routers, impresoras y otros dispositivos conectados dentro de una red incluyendo sitios web en intranets.^[105]​
• Reporte de Sitios Netcraft^[106]​ - indica si la confidencialidad de un sitio podría estar en riesgo debido a la explotación previa de Heartbleed al revisar datos de la encuesta SSL de Netcraft para saber si el sitio ofrecía la extensión TLS Heartbeat antes del descubrimiento de Heartbleed. La extensión Netcraft para Chrome, Firefox y Opera^[107]​ también hace esta revisión, mientras revisa por certificados potencialmente comprometidos.^[108]​

Vulnerabilidad de OpenSSL

Vulnerabilidad según los descubridores del fallo:

• OpenSSL 1.0.1g - No vulnerable (Corrección del fallo)
• OpenSSL 1.0.1 a 1.0.1f - Vulnerable
• OpenSSL 1.0.0 - No vulnerable
• OpenSSL 0.9.8 - No vulnerable

Reacción

En el día que se dio a conocer, el Tor Project aconsejó en su blog a todo el que busque "fuerte anonimato y privacidad en Internet" debería "alejarse de Internet por completo por los próximos días mientras se arreglan las cosas".^[109]​

Heartbleed está registrado en el sistema Common Vulnerabilities and Exposures como CVE-2014-0160.^[110]​ La Agencia de Impuestos Canadiense (Canada Revenue Agency) cerró su sitio web de servicios electrónicos debido a preocupaciones por el agujero de seguridad Heartbleed.

Quienes mantienen la plataforma de la Fundación Wikimedia aconsejaron a sus usuarios cambiar sus contraseñas.^[111]​

Medidas y acciones preventivas

Las medidas que se recomendaron tomar, por parte de administradores de sistemas, eran:^{[cita requerida]}

1. Aplicar el parche a OpenSSL y pasar a una versión que no estuviera afectada
2. Reemitir el certificado de seguridad del sitio para eliminar la posibilidad de que estuviera comprometido
3. revocar el certificado anterior

A los usuarios de los sitios afectados, por su parte, se les recomendó:^[112]​

1. No entrar en los sitios que estaban afectados hasta que no se corrigiera el fallo de seguridad
2. Una vez corregido, cambiar sus contraseñas para eliminar la posibilidad de que hubiera sido comprometida

Causa raíz, posibles lecciones y reacciones

Atendiendo a este problema las mayores compañías de tecnología del mundo acordaron donar millones de dólares para la creación de un grupo que financiará mejoras en programas de código abierto tipo OpenSSL. Amazon.com, Cisco Systems, Facebook, Google, IBM, Intel y Microsoft están entre la docena de compañías que han acordado financiar el grupo, llamado Core Infrastructure Initiative.^[113]​ Cada una donará 300 000 dólares a este programa. La Fundación Linux, sin fines de lucro, anunció la formación del grupo el 24 de abril de 2014. El proyecto respaldará el desarrollo de software de código abierto, que constituye una parte crítica de la infraestructura tecnológica mundial pero cuyos desarrolladores no tienen necesariamente una financiación adecuada para su trabajo, dijo Jim Zemlin, director ejecutivo de la Fundación Linux.^[114]​ La fundación OpenSSL es candidata a ser una de las primeras beneficiadas con este financiamiento.^[113]​

Véase también

• Shellshock
• Ataque POODLE
• Ticketbleed

Referencias

1. Goodin, Dan (7 de abril de 2014). «Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping». ArsTechnica.com (en inglés). Consultado el 24 de abril de 2014. 
2. Gallagher, Sean (9 de abril de 2014). «Heartbleed vulnerability may have been exploited months before patch [Updated]». Ars Technica (en inglés estadounidense). Consultado el 10 de noviembre de 2022. 
3. Seggelmann, R. et al. (February 2012). «Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension». RFC 6520. Internet Engineering Task Force (IETF). Consultado el 8 de abril de 2014. 
4. Grubb, Ben (11 de abril de 2014). «Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately». The Sydney Morning Herald. 
5. «#2658: [PATCH] Add TLS/DTLS Heartbeats». OpenSSL. 2011. Archivado desde el original el 8 de agosto de 2017. Consultado el 9 de junio de 2014. 
6. «Meet the man who created the bug that almost broke the Internet». Globe and Mail. 11 de abril de 2014. 
7. Site of Appearance and Discovery^{[aclaración requerida]} on Github
8. Codenomicon Ltd (8 de abril de 2014). «Heartbleed Bug». 
9. Goodin, Dan (8 de abril de 2014). «Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping». Ars Technica. 
10. Hagai Bar-El (9 de abril de 2014). «OpenSSL "Heartbleed" bug: what's at risk on the server and what is not». Archivado desde el original el 13 de abril de 2014. Consultado el 9 de junio de 2014. 
11. «Mark J Cox – #Heartbleed». Consultado el 12 de abril de 2014. 
12. The OpenSSL Project (7 de abril de 2014). «OpenSSL Security Advisory [07 Apr 2014]». 
13. «Why is it called the 'Heartbleed Bug'?». 
14. «Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - transl/Finnish researchers found a serious leakage of the heart of the Internet». 10 de abril de 2014. Consultado el 13 de abril de 2014. 
15. Mehta, Neel. «Don't forget to patch DTLS». Twitter. Archivado desde el original el 14 de abril de 2014. Consultado el 11 de abril de 2014. 
16. Ben Grubb (14 de abril de 2014), «Heartbleed disclosure timeline: who knew what and when», The Sydney Morning Herald .
17. «heartbeat_fix». Consultado el 14 de abril de 2014. 
18. «CloudFlare – Update on the Heartbleed OpenSSL Vulnerability». 12 de abril de 2014. Archivado desde el original el 31 de julio de 2014. Consultado el 9 de junio de 2014. 
19. Error en la cita: Etiqueta <ref> no válida; no se ha definido el contenido de las referencias llamadas fix
20. Graham, Robert (8 de mayo de 2014). «300k servers vulnerable to Heartbleed one month later». Errata Security. Consultado el 7 de junio de 2014. 
21. «Heartbleed certificate revocation tsunami yet to arrive». Netcraft. 11 de abril de 2014. Consultado el 24 de abril de 2014. 
22. Sean Michael Kerner (10 de mayo de 2014). «Heartbleed Still a Threat to Hundreds of Thousands of Servers». eWEEK. Archivado desde el original el 11 de mayo de 2014. Consultado el 9 de junio de 2014. 
23. Heartbleed bug: 900 SINs stolen from Revenue Canada, CBC News, 14 de abril de 2014 . Some of the details are in the video linked from the page.
24. Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug, Vancouver Sun, 13 de abril de 2014, archivado desde el original el 16 de junio de 2014, consultado el 9 de junio de 2014 .
25. Thibedeau, Hannah (16 de abril de 2014). «Heartbleed bug accused charged by RCMP after SIN breach». CBC News. 
26. Heartbleed hack case sees first arrest in Canada, BBC News, 16 de abril de 2014 .
27. Kelion, Leo (14 de abril de 2014). «BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency». BBC News. 
28. Mumsnet and Heartbleed as it happened, Mumsnet, archivado desde el original el 29 de diciembre de 2017, consultado el 9 de junio de 2014 .
29. Ward, Mark (29 de abril de 2014). «Heartbleed used to uncover data from cyber-criminals». BBC News. 
30. Lawler, Richard (11 de abril de 2014). «Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible». Engadget. 
31. «The Heartbleed Challenge». CloudFlare. 2014. Archivado desde el original el 12 de abril de 2014. 
32. Jordan Robertson (16 de abril de 2014). «Hackers from China waste little time in exploiting Heartbleed». The Sydney Morning Herald. 
33. Cipriani, Jason (9 de abril de 2014). «Heartbleed bug: Check which sites have been patched». CNET. 
34. Gallagher, Sean (9 de abril de 2014). «Heartbleed vulnerability may have been exploited months before patch». Ars Technica. 
35. "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
36. Graham, Robert (9 de abril de 2014). «No, we weren't scanning for hearbleed[sic] before April 7». Errata Security. 
37. Riley, Michael (12 de abril de 2014). «NSA Said to Exploit Heartbleed Bug for Intelligence for Years». Bloomberg L.P. 
38. «Report: NSA exploited Heartbleed for years». USA Today. Consultado el 11 de abril de 2014. 
39. «NSA exploited Heartbleed bug for two years to gather intelligence, sources say». Financial Post. Consultado el 11 de abril de 2014. 
40. «Statement on Bloomberg News story that NSA knew about the 'Heartbleed bug' flaw and regularly used it to gather critical intelligence». National Security Agency. 11 de abril de 2014. 
41. Mark Hosenball; Will Dunham (11 de abril de 2014). «White House, spy agencies deny NSA exploited 'Heartbleed' bug». Reuters. Archivado desde el original el 16 de abril de 2014. Consultado el 9 de junio de 2014. 
42. Zhu, Yan (8 de abril de 2014). «Why the Web Needs Perfect Forward Secrecy More Than Ever». Electronic Frontier Foundation. 
43. Goodin, Dan (8 de abril de 2014). «Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style». Ars Technica. 
44. «Schneier on Security: Heartbleed». Schneier on Security. 11 de abril de 2014. 
45. Steinberg, Joseph (10 de abril de 2014). «Massive Internet Security Vulnerability – Here's What You Need To Do». Forbes. 
46. musalbas (Abril de 2014). «heartbleed-masstest». github.com (en inglés). Consultado el 24 de abril de 2014. 
47. «Heartbleed FAQ: Akamai Systems Patched». Akamai Technologies. 8 de abril de 2014. 
48. «AWS Services Updated to Address OpenSSL Vulnerability». Amazon Web Services. 8 de abril de 2014. 
49. «Dear readers, please change your Ars account passwords ASAP». Ars Technica. 8 de abril de 2014. 
50. «All Heartbleed upgrades are now complete». BitBucket Blog. 9 de abril de 2014. 
51. «Keeping Your BrandVerity Account Safe from the Heartbleed Bug». BrandVerity Blog. 9 de abril de 2014. 
52. «Twitter / freenodestaff: we've had to restart a bunch...». 8 de abril de 2014. 
53. «Security: Heartbleed vulnerability». GitHub. 8 de abril de 2014. 
54. «IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed». LifeHacker. 8 de abril de 2014. 
55. «Heartbleed bug and the Archive | Internet Archive Blogs». Blog.archive.org. 9 de abril de 2014. Consultado el 14 de abril de 2014. 
56. «Twitter / KrisJelbring: If you logged in to any of». Twitter.com. 8 de abril de 2014. Consultado el 14 de abril de 2014. 
57. «The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ». PeerJ. 9 de abril de 2014. 
58. «Was Pinterest impacted by the Heartbleed issue?». Help Center. Pinterest. Archivado desde el original el 21 de abril de 2014. Consultado el 20 de abril de 2014. 
59. «Heartbleed Defeated». Archivado desde el original el 14 de abril de 2014. Consultado el 13 de abril de 2014. 
60. Staff (14 de abril de 2014). «We recommend that you change your reddit password». Reddit. Consultado el 14 de abril de 2014. 
61. «IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI». Consultado el 13 de abril de 2014. 
62. Codey, Brendan (9 de abril de 2014). «Security Update: We’re going to sign out everyone today, here’s why». SoundCloud. 
63. "ctsai" (10 de abril de 2014). «SourceForge response to Heartbleed». SourceForge. 
64. «Heartbleed». SparkFun. 9 de abril de 2014. 
65. «Heartbleed». Stripe (company). 9 de abril de 2014. Consultado el 10 de abril de 2014. 
66. «Tumblr Staff-Urgent security update». 8 de abril de 2014. Consultado el 9 de abril de 2014. 
67. Hern, Alex (9 de abril de 2014). «Heartbleed: don't rush to update passwords, security experts warn». The Guardian. 
68. Error en la cita: Etiqueta <ref> no válida; no se ha definido el contenido de las referencias llamadas wikimedia
69. Grossmeier, Greg (10 de abril de 2014). «Wikimedia's response to the "Heartbleed" security vulnerability». Wikimedia Foundation blog. Wikimedia Foundation. Consultado el 10 de abril de 2014. 
70. «Wunderlist & the Heartbleed OpenSSL Vulnerability». 10 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 26 de abril de 2014. 
71. IPCop (8 de abril de 2014). «IPCop 2.1.4 is released». SourceForge electronic mailing lists. 139697815506679. Consultado el 11 de abril de 2014. 
72. Staff (8 de abril de 2014). «LastPass and the Heartbleed Bug». LastPass. Archivado desde el original el 18 de diciembre de 2017. Consultado el 26 de abril de 2014. 
73. italovignoli (10 de abril de 2014). «LibreOffice 4.2.3 is now available for download». The Document Foundation. Archivado desde el original el 12 de abril de 2014. Consultado el 11 de abril de 2014. 
74. «LogMeIn and OpenSSL». LogMeIn. Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014. 
75. «HP Servers Communication: OpenSSL "HeartBleed" Vulnerability». 18 de abril de 2014. 
76. «McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products». McAfee KnowledgeBase. McAfee. 17 de abril de 2014. 
77. «Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed"». VMware, Inc. Consultado el 17 de abril de 2014. 
78. Paul Younger (11 de abril de 2014). «PC game services affected by Heartbleed and actions you need to take». IncGamers. Archivado desde el original el 15 de abril de 2014. Consultado el 26 de abril de 2014. 
79. «Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected». BGR Media. 16 de abril de 2014. 
80. Snell, Jason (22 de abril de 2014). «Apple releases Heartbleed fix for AirPort Base Stations». Macworld. 
81. Kleinman, Alexis (11 de abril de 2014). «The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do». The Huffington Post. 
82. Yadron, Danny (10 de abril de 2014). «Heartbleed Bug Found in Cisco Routers, Juniper Gear». Dow Jones & Company, Inc. 
83. «Cisco Security Advisory: OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products». Cisco. 9 de abril de 2014. 
84. «2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160)». Juniper Networks. 14 de abril de 2014. 
85. «Heartbleed Bug Issue». Western Digital. 10 de abril de 2014. Archivado desde el original el 19 de abril de 2014. Consultado el 26 de abril de 2014. 
86. «Tripwire SecureScan». Tripwire - Take Control of IT Security and Regulatory Compliance with Tripwire Software. Archivado desde el original el 16 de abril de 2014. Consultado el 7 de octubre de 2014. 
87. «AppCheck - static binary scan, from Codenomicon». Archivado desde el original el 17 de octubre de 2014. Consultado el 7 de octubre de 2014. 
88. «Arbor Network's Pravail Security Analytics». Archivado desde el original el 11 de abril de 2014. Consultado el 7 de octubre de 2014. 
89. «Norton Safeweb Heartbleed Check Tool». Consultado el 7 de octubre de 2014. 
90. «Heartbleed OpenSSL extension testing tool, CVE-2014-0160». Possible.lv. Consultado el 11 de abril de 2014. 
91. "Heartbleed Scanner" por el criptólogo italiano Filippo Valsorda
92. Herramienta de prueba de vulnerabilidad Heartbleed Archivado el 15 de abril de 2014 en Wayback Machine." de Cyberoam
93. «Critical Watch :: Heartbleed Tester :: CVE-2014-0160». Heartbleed.criticalwatch.com. Archivado desde el original el 14 de abril de 2014. Consultado el 14 de abril de 2014. 
94. modulo Metasploit
95. Heartbleed Server Scanner por Rehmann
96. «Heartbleed Detector: Check If Your Android OS Is Vulnerable with Our App». Lookout Mobile Security blog. 9 de abril de 2014. Archivado desde el original el 13 de abril de 2014. Consultado el 10 de abril de 2014. 
97. «Heartbleed checker». LastPass. Consultado el 11 de abril de 2014. 
98. «OpenSSL Heartbleed vulnerability scanner :: Online Penetration Testing Tools | Ethical Hacking Tools». Pentest-tools.com. Consultado el 11 de abril de 2014. 
99. Stafford, Jared (14 de abril de 2014). «heartbleed-poc.py». Red Hat, Inc. 
100. «Qualys's SSL Labs' SSL Server Test». Consultado el 7 de octubre de 2014. 
101. «Chromebleed». Archivado desde el original el 18 de octubre de 2014. Consultado el 7 de octubre de 2014. 
102. «FoxBleed». Archivado desde el original el 12 de octubre de 2014. Consultado el 7 de octubre de 2014. 
103. «SSL Diagnos». SourceForge. Consultado el 7 de octubre de 2014. 
104. «CrowdStrike Heartbleed Scanner». Consultado el 7 de octubre de 2014. 
105. Lynn, Samara. «Routers, SMB Networking Equipment - Is Your Networking Device Affected by Heartbleed?». PCMag.com. Archivado desde el original el 24 de abril de 2014. Consultado el 24 de abril de 2014. 
106. «Netcraft Site Report». Consultado el 7 de octubre de 2014. 
107. «Netcraft Extensions». Consultado el 7 de octubre de 2014. 
108. Mutton, Paul (24 de junio de 2014). «Netcraft Releases Heartbleed Indicator For Chrome, Firefox and Opera». Netcraft. 
109. «OpenSSL bug CVE-2014-0160». Tor Project. 7 de abril de 2014. 
110. «CVE – CVE-2014-0160». Cve.mitre.org. Consultado el 10 de abril de 2014. 
111. Grossmeier, Greg (10 de apbril de 2014). «Wikimedia’s response to the “Heartbleed” security vulnerability». Wikimedia (en inglés). Consultado el 24 de abril de 2014. 
112. Pagliery, Jose (10 de abril de 2014). «ABC sobre la peor amenaza de Internet». CNN EXPANSIÓN. Consultado el 24 de abril de 2014. 
113. «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects». The Linux Foundation. 24 de abril de 2014. Archivado desde el original el 25 de abril de 2014. Consultado el 26 de abril de 2014. 
114. «Google y FB ayudan a reparar Heartbleed». CNN EXPANSIÓN. 24 de abril de 2014. Consultado el 24 de abril de 2014. 

Enlaces externos

•   Wikimedia Commons alberga una categoría multimedia sobre Heartbleed.
• Resumen y Q&A sobre el fallo por Codenomicon Ltd