Tema: HeartBleed: Bug critico de OpenSSL
Ver Mensaje Individual
  #11  
Antiguo 11-04-2014
Avatar de mamcx
mamcx mamcx is offline
Moderador
  
Registrado: sep 2004
Ubicación: Medellín - Colombia
Posts: 3.911
Reputación: 25
mamcx Tiene un aura espectacularmamcx Tiene un aura espectacularmamcx Tiene un aura espectacular
Cita:
Empezado por Al González Ver Mensaje
te sugiero que vayas cambiando el título de "...afecta a casi todo el mundo" por algo más, como decirlo...verdadero.
Ya veo el problema! Por todo el mundo quise dar a entender algo diferente a todo el planeta!, mas tipo "Todo el mundo que esta involucrado con esto", una patada de mi parte. Y tambien porque afecta a muchos usuarios, como cuando se reporta que se roban claves, datos privados etc. Que titulo debería poner que mejor refleje el punto?

Cita:
Empezado por Al González Ver Mensaje
Estoy de acuerdo en que seguir usando C y otros lenguajes simbólicos son una patada a la inteligencia, pero no creo que su estresante sintaxis sea una de las principales causas del problema reportado.
Ya que esto puede desviar el hilo, seria bueno discutirlo luego. Spoiler: Yo digo que si .

Cita:
Empezado por Al González Ver Mensaje
Levante la mano el miembro de Club Delphi que haya tenido algún problema grave, o que alguno de sus allegados lo haya tenido, debido al defecto de programación mencionado.
Cita:
Empezado por Al González Ver Mensaje
Es que si fuese algo importante ¿no habrían asaltado ya distintos sitios importantes que usan openssl?
Eso es lo que lo hace GRAVE.

Asi funciona el bug (mas divertido en comic):

http://xkcd.com/1354/

Esto no es un bug que "causa destruccion & ruina", que causa un crash o mata sistemas. Es un bug de "robo de informacion" de manera oportunista.

Remito de nuevo:

https://www.schneier.com/blog/archiv...eartbleed.html
Cita:
Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. This means that anything in memory -- SSL private keys, user keys, anything -- is vulnerable. And you have to assume that it is all compromised. All of it.
Esto significa que uno puede, en un ciclo, estar preguntando:

Por fa sitio web de un banco, podrías regalarme 64K de lo que sea que este en memoria? Gracias!.

Y es muy difícil determinar si alguien fue o NO atacado.

Es como si se tuviera un telescopio apuntando a una ventana abierta, esperando oportunistamente a ver que se ve, sin que haya manera en su interior de aseverar a ciencia cierta si hay algún degenerado por ahi a kilómetros de distancia interesado.

Lo que lo hace grave, es que es silencioso. No requiere penetrar el sistema. Dificilmente se puede detectar. Da información gratis sin questionar, ni recordar a quien, todo chismoso el bug.
__________________
El malabarista.
Responder Con Cita