HeartBleed: Bug critico de OpenSSL

[mamcx]

https://www.schneier.com/blog/archiv...eartbleed.html

Cita:

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software

-----
"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.

Comprueben la seguridad de sus sitios:

http://filippo.io/Heartbleed/

Debido a esto, TODOS los certificados generados con las versiones "malignas" de OpenSSL deben ser revocados.

Comentarios en Hacker News:

https://news.ycombinator.com/item?id=7548991

-----
Este es otro grave error en un aspecto clave de la seguridad de internet, y ya van varios de estos "bugs" descubiertos recientemente que llevaban largo rato "invisibles". Ademas:

1) Muestra lo desastroso que es que la infraestructura en software esta construida sobre 2 adefesios: C & Javascript, cuya magnitud, fallos, problemas y demás cuestan millones de dólares y son una perdida de tiempo inmensa.

Cita:

We can't end all bugs in software, but we can plug this seemingly endless source of bugs which has been affecting the Internet since the Morris worm. It has now cost us a two-year window in which 70% of our internet traffic was potentially exposed. It will cost us more before we manage to end it

Un mundo donde Pascal/ADA fueran el fundamente seria uno mejor.

2) Muestra que tener el código abierto no es en si una garantia de calidad. La calidad de los programadores y sus procesos es el aspecto clave:

http://antirez.com/news/76

[Casimiro Notevi]

El bug es muy grave, pero esos datos son erróneos y puro sensacionalismo iniciado por heartbleed.com:

https://twitter.com/gallir/status/453926366896218113
https://twitter.com/gallir/status/453927393032679424
antiguo-director-seguridad-microsoft-detras-heartbleed-com
http://www.meneame.net/c/14555192

[mamcx]

SI lees el link que puse, en ningun lado se afirma lo de que el 66% de los servidores estan comprometidos. Este linkea a:

http://news.netcraft.com/archives/20...bleed-bug.html

Cita:

Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites

Lo de que afecta a casi todos es porque:

Cita:

Popular sites which exhibit support for the TLS heartbeat extension include Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, HypoVereinsbank, PostFinance, Regents Bank, Commonwealth Bank of Australia, and the anonymous search engine DuckDuckGo.

Por Twitter & Yahoo es un monton de gente. Ademas de los sitios como tales, los certificados generados estan comprometidos, lo que abarca muchas cosas que no tienen que ser necesariamente un sitio web (ie: Ademas, si el certificado lo genera OpenSSL y se usa en NGINX aun cuando no tenga ese bug, el certficado esta podrido).

---

Con respecto a lo de meneame:

Cita:

El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL.

1) heartbleed no es ni de lejos el principal agente en todo esto. Ni MS. El que descubrio el bug fue Google.

2) Lo de meneame hace una falacia logica que desvia la atencion de algo serio (el bug) al ago estupido en contexto (MS is EVIILLLL!!!) y que esta de lejos de lo que personas con las credenciales del caso han mostrado.

3)con un mensaje muy sensacionalista contra OpenSSL. OpenSSL es ALTAMANENTE RECONOCIDO como un proyecto de software mal codificado & chapuzero (para los estandares criptograficos), es solo que al igual que C & JavaScript, es la vaina que tiene mas inercia.

Remito al thread en hacker news (donde hay un cubrimiento mucho mas profesional del tema que el de meneame. Hay hay gente de la comunidad criptografica, gente que sabe del tema).

[[Al González]]

OK, vamos a ver qué es eso del gravísimo y catastrófico defecto de OpenSSL que tanto se cacarea...

Marchando intento de búsqueda objetiva en Google...

[[Al González]]

Una lectura útil y divertida:

http://es.chuso.net/openssl-heartble...s-elmundo.html

Apaguen y vamos a dormir.

[Casimiro Notevi]

Cita:

Empezado por mamcx

(MS is EVIILLLL!!!)

Sí, lo es, quieras creerlo o no

Cita:

Empezado por mamcx

OpenSSL es ALTAMANENTE RECONOCIDO como un proyecto de software mal codificado & chapuzero (para los estandares criptograficos), es solo que al igual que C ...

Sí, hombre, lo que tú digas

Cita:

Empezado por mamcx

Remito al thread en hacker news (donde hay un cubrimiento mucho mas profesional del tema que el de meneame. Hay hay gente de la comunidad criptografica, gente que sabe del tema).

Claro, es que Ricardo Galli, el creador de meneame, catedrático y profesor de informática con decenas de años de experiencia (que declinó trabajar para google, a pesar de las insistencias de sus dirigentes, ya sabéis sus nombres), colaborador de Richard Stallman, no sabe del tema.

Cita:

Empezado por Al González

Una lectura útil y divertida:
http://es.chuso.net/openssl-heartble...s-elmundo.html
Apaguen y vamos a dormir.

Pues eso, que es una noticia sensacionalista típica, como las que lanza microsoft de vez en cuando contra linux, el software libre y todo lo que tenga algo que ver con ello.