HeartBleed: Bug critico de OpenSSL

[mamcx]

Cita:

Empezado por Al González

te sugiero que vayas cambiando el título de "...afecta a casi todo el mundo" por algo más, como decirlo...verdadero.

Ya veo el problema! Por todo el mundo quise dar a entender algo diferente a todo el planeta!, mas tipo "Todo el mundo que esta involucrado con esto", una patada de mi parte. Y tambien porque afecta a muchos usuarios, como cuando se reporta que se roban claves, datos privados etc. Que titulo debería poner que mejor refleje el punto?

Cita:

Empezado por Al González

Estoy de acuerdo en que seguir usando C y otros lenguajes simbólicos son una patada a la inteligencia, pero no creo que su estresante sintaxis sea una de las principales causas del problema reportado.

Ya que esto puede desviar el hilo, seria bueno discutirlo luego. Spoiler: Yo digo que si .

Cita:

Empezado por Al González

Levante la mano el miembro de Club Delphi que haya tenido algún problema grave, o que alguno de sus allegados lo haya tenido, debido al defecto de programación mencionado.

Cita:

Empezado por Al González

Es que si fuese algo importante ¿no habrían asaltado ya distintos sitios importantes que usan openssl?

Eso es lo que lo hace GRAVE.

Asi funciona el bug (mas divertido en comic):

http://xkcd.com/1354/

Esto no es un bug que "causa destruccion & ruina", que causa un crash o mata sistemas. Es un bug de "robo de informacion" de manera oportunista.

Remito de nuevo:

https://www.schneier.com/blog/archiv...eartbleed.html

Cita:

Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. This means that anything in memory -- SSL private keys, user keys, anything -- is vulnerable. And you have to assume that it is all compromised. All of it.

Esto significa que uno puede, en un ciclo, estar preguntando:

Por fa sitio web de un banco, podrías regalarme 64K de lo que sea que este en memoria? Gracias!.

Y es muy difícil determinar si alguien fue o NO atacado.

Es como si se tuviera un telescopio apuntando a una ventana abierta, esperando oportunistamente a ver que se ve, sin que haya manera en su interior de aseverar a ciencia cierta si hay algún degenerado por ahi a kilómetros de distancia interesado.

Lo que lo hace grave, es que es silencioso. No requiere penetrar el sistema. Dificilmente se puede detectar. Da información gratis sin questionar, ni recordar a quien, todo chismoso el bug.

[roman]

Cita:

Empezado por mamcx

Lo que lo hace grave, es que es silencioso. No requiere penetrar el sistema. Dificilmente se puede detectar. Da información gratis sin questionar, ni recordar a quien, todo chismoso el bug.

Y a esto debe añadirse el hecho de que es una falla que lleva ya dos años, que es un espacio muy grande de tiempo para los hackers. Puede ser que no lo hayan detectado, puede ser que sí. En todo caso, mejor cambiar las contraseñas.

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

// Saludos

[[egostar]]

Cita:

Empezado por roman

Y a esto debe añadirse el hecho de que es una falla que lleva ya dos años, que es un espacio muy grande de tiempo para los hackers. Puede ser que no lo hayan detectado, puede ser que sí. En todo caso, mejor cambiar las contraseñas.

En México hay una fiebre por los Servicios Web "seguros" los cuales están comprometidos por la vulnerabilidad tratada en éste hilo, una situación a todas luces preocupante para todos los que estamos involucrados. Por ejemplo, el SAT y todos sus "socios tecnológicos" son vulnerables, así que una gran parte de la sociedad mexicana está en la probabilidad de ser afectado.

Y yo me pregunto...

¿Que hubiese pasado si la vulnerabilidad estuviera en alguno de los productos de MicroSoft?
¿Cómo reaccionaría ésta misma comunidad que no le ve lo grave de éste bug si fuese un bug de MicroSoft?

Cita:

Empezado por roman

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

Yo tampoco.

Saludos

[Casimiro Notevi]

¿Alguien conoce algún caso?, ¿algún amigo de un conocido de un primo del cuñado del compañero de trabajo de ese que salió una vez en la tele... conoce algún caso?

[[egostar]]

Cita:

Empezado por Casimiro Notevi

¿Alguien conoce algún caso?, ¿algún amigo de un conocido de un primo del cuñado del compañero de trabajo de ese que salió una vez en la tele... conoce algún caso?

Cita:

Empezado por roman

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

Yo tampoco.

Saludos

[Casimiro Notevi]

Cita:

Empezado por egostar

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

[[egostar]]

Cita:

Empezado por Casimiro Notevi

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

Así como tampoco he tenido un Windows que falle para que me haga serle infiel

Es más ni el mismísimo Windows Vista me falló durante todo el tiempo que lo usé.

Saludos

[[poliburro]]

Cita:

Empezado por Casimiro Notevi

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

Pues, eso mismo dijo el amigo Egostar... :P o esto anda en plan de desvirtuar hilos o el amigo casimiro no entendió las referencias...