HeartBleed: Bug critico de OpenSSL

[mamcx]

https://www.schneier.com/blog/archiv...eartbleed.html

Cita:

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software

-----
"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.

Comprueben la seguridad de sus sitios:

http://filippo.io/Heartbleed/

Debido a esto, TODOS los certificados generados con las versiones "malignas" de OpenSSL deben ser revocados.

Comentarios en Hacker News:

https://news.ycombinator.com/item?id=7548991

-----
Este es otro grave error en un aspecto clave de la seguridad de internet, y ya van varios de estos "bugs" descubiertos recientemente que llevaban largo rato "invisibles". Ademas:

1) Muestra lo desastroso que es que la infraestructura en software esta construida sobre 2 adefesios: C & Javascript, cuya magnitud, fallos, problemas y demás cuestan millones de dólares y son una perdida de tiempo inmensa.

Cita:

We can't end all bugs in software, but we can plug this seemingly endless source of bugs which has been affecting the Internet since the Morris worm. It has now cost us a two-year window in which 70% of our internet traffic was potentially exposed. It will cost us more before we manage to end it

Un mundo donde Pascal/ADA fueran el fundamente seria uno mejor.

2) Muestra que tener el código abierto no es en si una garantia de calidad. La calidad de los programadores y sus procesos es el aspecto clave:

http://antirez.com/news/76

[Casimiro Notevi]

El bug es muy grave, pero esos datos son erróneos y puro sensacionalismo iniciado por heartbleed.com:

https://twitter.com/gallir/status/453926366896218113
https://twitter.com/gallir/status/453927393032679424
antiguo-director-seguridad-microsoft-detras-heartbleed-com
http://www.meneame.net/c/14555192

[mamcx]

SI lees el link que puse, en ningun lado se afirma lo de que el 66% de los servidores estan comprometidos. Este linkea a:

http://news.netcraft.com/archives/20...bleed-bug.html

Cita:

Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites

Lo de que afecta a casi todos es porque:

Cita:

Popular sites which exhibit support for the TLS heartbeat extension include Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, HypoVereinsbank, PostFinance, Regents Bank, Commonwealth Bank of Australia, and the anonymous search engine DuckDuckGo.

Por Twitter & Yahoo es un monton de gente. Ademas de los sitios como tales, los certificados generados estan comprometidos, lo que abarca muchas cosas que no tienen que ser necesariamente un sitio web (ie: Ademas, si el certificado lo genera OpenSSL y se usa en NGINX aun cuando no tenga ese bug, el certficado esta podrido).

---

Con respecto a lo de meneame:

Cita:

El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL.

1) heartbleed no es ni de lejos el principal agente en todo esto. Ni MS. El que descubrio el bug fue Google.

2) Lo de meneame hace una falacia logica que desvia la atencion de algo serio (el bug) al ago estupido en contexto (MS is EVIILLLL!!!) y que esta de lejos de lo que personas con las credenciales del caso han mostrado.

3)con un mensaje muy sensacionalista contra OpenSSL. OpenSSL es ALTAMANENTE RECONOCIDO como un proyecto de software mal codificado & chapuzero (para los estandares criptograficos), es solo que al igual que C & JavaScript, es la vaina que tiene mas inercia.

Remito al thread en hacker news (donde hay un cubrimiento mucho mas profesional del tema que el de meneame. Hay hay gente de la comunidad criptografica, gente que sabe del tema).

[[Al González]]

OK, vamos a ver qué es eso del gravísimo y catastrófico defecto de OpenSSL que tanto se cacarea...

Marchando intento de búsqueda objetiva en Google...

[[Al González]]

Una lectura útil y divertida:

http://es.chuso.net/openssl-heartble...s-elmundo.html

Apaguen y vamos a dormir.

[Casimiro Notevi]

Cita:

Empezado por mamcx

(MS is EVIILLLL!!!)

Sí, lo es, quieras creerlo o no

Cita:

Empezado por mamcx

OpenSSL es ALTAMANENTE RECONOCIDO como un proyecto de software mal codificado & chapuzero (para los estandares criptograficos), es solo que al igual que C ...

Sí, hombre, lo que tú digas

Cita:

Empezado por mamcx

Remito al thread en hacker news (donde hay un cubrimiento mucho mas profesional del tema que el de meneame. Hay hay gente de la comunidad criptografica, gente que sabe del tema).

Claro, es que Ricardo Galli, el creador de meneame, catedrático y profesor de informática con decenas de años de experiencia (que declinó trabajar para google, a pesar de las insistencias de sus dirigentes, ya sabéis sus nombres), colaborador de Richard Stallman, no sabe del tema.

Cita:

Empezado por Al González

Una lectura útil y divertida:
http://es.chuso.net/openssl-heartble...s-elmundo.html
Apaguen y vamos a dormir.

Pues eso, que es una noticia sensacionalista típica, como las que lanza microsoft de vez en cuando contra linux, el software libre y todo lo que tenga algo que ver con ello.

[mamcx]

Cita:

Empezado por Casimiro Notevi

Sí, lo es, quieras creerlo o no

Y es mejor quedarnos calladitos, no vaya a molestarse con nosotros

Cita:

Empezado por Casimiro Notevi

Sí, hombre, lo que tú digas

Nope. Es lo que dicen la gente que sabe del tema, y ha usado el código.

Cita:

Empezado por Casimiro Notevi

Claro, es que Ricardo Galli...

No, no sabe. No es criptografo. Conoce por dentro OpenSSL? No creo. Ser una persona capaz y ser competente en algo no es lo mismo. En este caso, solo alguien competente en criptografia puede evaluar el tema, y los que lo son son los que exponen el punto que OpenSSL no esta a la altura. Por favor, si hay interes en conocer mas detalles, ver el thread de hacker news. Hay esta gente que ha implementado OpenSSL (no meramente usado como una herramienta, como la mayoría de nosotros), tambien criptografos y demas. Hay problemas mas que obvios en el código, como errores estúpidos de identacion, APIS que se quiebran, inconsistencias en la evaluacion de errores, un cantidad gigantesca de codigo que hace de todo, nada de automatizacion en chequeos de seguridad, y muchas cosas mas.

Cita:

Empezado por Casimiro Notevi

Pues eso, que es una noticia sensacionalista típica, como las que lanza microsoft de vez en cuando contra linux, el software libre y todo lo que tenga algo que ver con ello.

Lo de que X % estaba infectado era un angulo que desconocía, y eso si es sensacionalista. Que carajos tiene que ver con MS es lo que no veo. Eso no lo publico MS. Fue Google. Sitios muy importantes y grandes fueron afectados, no por culpa de MS. El problema es grave, como muestran las personas competentes en la materia (Como la de Google), MS no ha tenido que ver con eso -excepto por la muy tenue conexión de un fulano que alguna vez tuvo la desgracia de trabajar para The EVIL, INC-.

Asi que si el tema es no darle proporciones al tema que no tiene, eso esta bien.

[Casimiro Notevi]

Cita:

Empezado por mamcx

Asi que si el tema es no darle proporciones al tema que no tiene, eso esta bien.

Es que si fuese algo importante ¿no habrían asaltado ya distintos sitios importantes que usan openssl?.
Evidentemente, no ha ocurrido nada, y ahora va a ocurrir menos todavía, porque ya se conoce. Es antes cuando tenían que haberse aprovechado y no lo han hecho, por lo tanto no es tan importante.

[[Al González]]

Cita:

Empezado por mamcx

[...] es no darle proporciones al tema que no tiene, eso esta bien.

Hombre, Mario, pues entonces siendo tú moderador e iniciador del hilo, y para ser congruente con esas palabras, te sugiero que vayas cambiando el título de "...afecta a casi todo el mundo" por algo más, como decirlo...verdadero.

Levante la mano el miembro de Club Delphi que haya tenido algún problema grave, o que alguno de sus allegados lo haya tenido, debido al defecto de programación mencionado.

Estoy de acuerdo en que seguir usando C y otros lenguajes simbólicos son una patada a la inteligencia, pero no creo que su estresante sintaxis sea una de las principales causas del problema reportado.

Saludos incendiarios y apocalípticos.

[roman]

Aquí está la notificación de la UNAM aunque supongo que Galli sabe más que los expertos en el ramo. La vulnerabilidad es bastante seria más allá de que haya sensacionalismo. Galli habla de porcentajes ínfimos de servidores que pueden estar afectados y puede ser que tenga razón, pero ése no es el problema, si no los usuarios de dichos servidores.

// Saludos

[mamcx]

Cita:

Empezado por Al González

te sugiero que vayas cambiando el título de "...afecta a casi todo el mundo" por algo más, como decirlo...verdadero.

Ya veo el problema! Por todo el mundo quise dar a entender algo diferente a todo el planeta!, mas tipo "Todo el mundo que esta involucrado con esto", una patada de mi parte. Y tambien porque afecta a muchos usuarios, como cuando se reporta que se roban claves, datos privados etc. Que titulo debería poner que mejor refleje el punto?

Cita:

Empezado por Al González

Estoy de acuerdo en que seguir usando C y otros lenguajes simbólicos son una patada a la inteligencia, pero no creo que su estresante sintaxis sea una de las principales causas del problema reportado.

Ya que esto puede desviar el hilo, seria bueno discutirlo luego. Spoiler: Yo digo que si .

Cita:

Empezado por Al González

Levante la mano el miembro de Club Delphi que haya tenido algún problema grave, o que alguno de sus allegados lo haya tenido, debido al defecto de programación mencionado.

Cita:

Empezado por Al González

Es que si fuese algo importante ¿no habrían asaltado ya distintos sitios importantes que usan openssl?

Eso es lo que lo hace GRAVE.

Asi funciona el bug (mas divertido en comic):

http://xkcd.com/1354/

Esto no es un bug que "causa destruccion & ruina", que causa un crash o mata sistemas. Es un bug de "robo de informacion" de manera oportunista.

Remito de nuevo:

https://www.schneier.com/blog/archiv...eartbleed.html

Cita:

Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. This means that anything in memory -- SSL private keys, user keys, anything -- is vulnerable. And you have to assume that it is all compromised. All of it.

Esto significa que uno puede, en un ciclo, estar preguntando:

Por fa sitio web de un banco, podrías regalarme 64K de lo que sea que este en memoria? Gracias!.

Y es muy difícil determinar si alguien fue o NO atacado.

Es como si se tuviera un telescopio apuntando a una ventana abierta, esperando oportunistamente a ver que se ve, sin que haya manera en su interior de aseverar a ciencia cierta si hay algún degenerado por ahi a kilómetros de distancia interesado.

Lo que lo hace grave, es que es silencioso. No requiere penetrar el sistema. Dificilmente se puede detectar. Da información gratis sin questionar, ni recordar a quien, todo chismoso el bug.

[roman]

Cita:

Empezado por mamcx

Lo que lo hace grave, es que es silencioso. No requiere penetrar el sistema. Dificilmente se puede detectar. Da información gratis sin questionar, ni recordar a quien, todo chismoso el bug.

Y a esto debe añadirse el hecho de que es una falla que lleva ya dos años, que es un espacio muy grande de tiempo para los hackers. Puede ser que no lo hayan detectado, puede ser que sí. En todo caso, mejor cambiar las contraseñas.

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

// Saludos

[[egostar]]

Cita:

Empezado por roman

Y a esto debe añadirse el hecho de que es una falla que lleva ya dos años, que es un espacio muy grande de tiempo para los hackers. Puede ser que no lo hayan detectado, puede ser que sí. En todo caso, mejor cambiar las contraseñas.

En México hay una fiebre por los Servicios Web "seguros" los cuales están comprometidos por la vulnerabilidad tratada en éste hilo, una situación a todas luces preocupante para todos los que estamos involucrados. Por ejemplo, el SAT y todos sus "socios tecnológicos" son vulnerables, así que una gran parte de la sociedad mexicana está en la probabilidad de ser afectado.

Y yo me pregunto...

¿Que hubiese pasado si la vulnerabilidad estuviera en alguno de los productos de MicroSoft?
¿Cómo reaccionaría ésta misma comunidad que no le ve lo grave de éste bug si fuese un bug de MicroSoft?

Cita:

Empezado por roman

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

Yo tampoco.

Saludos

[Casimiro Notevi]

¿Alguien conoce algún caso?, ¿algún amigo de un conocido de un primo del cuñado del compañero de trabajo de ese que salió una vez en la tele... conoce algún caso?

[[egostar]]

Cita:

Empezado por Casimiro Notevi

¿Alguien conoce algún caso?, ¿algún amigo de un conocido de un primo del cuñado del compañero de trabajo de ese que salió una vez en la tele... conoce algún caso?

Cita:

Empezado por roman

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

Yo tampoco.

Saludos

[Casimiro Notevi]

Cita:

Empezado por egostar

Por cierto, yo, afortunadamente, no conozco a nadie cercano que haya tenido influenza, lo cual no la hace inexistente.

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

[[egostar]]

Cita:

Empezado por Casimiro Notevi

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

Así como tampoco he tenido un Windows que falle para que me haga serle infiel

Es más ni el mismísimo Windows Vista me falló durante todo el tiempo que lo usé.

Saludos

[[poliburro]]

Cita:

Empezado por Casimiro Notevi

Tampoco has visto un ovni, ni un extraterrestre... por el mismo motivo, no los hace inexistentes

Pues, eso mismo dijo el amigo Egostar... :P o esto anda en plan de desvirtuar hilos o el amigo casimiro no entendió las referencias...

[Casimiro Notevi]

Cita:

Empezado por egostar

...

Por cierto, ¿qué es la imagen de tu avatar? ¿es un perro?

[mamcx]

Parece que la NSA lleva explotando el bug desde hace rato:

http://www.bloomberg.com/news/2014-0...consumers.html

Cita:

The NSA and other elite intelligence agencies devote millions of dollars to hunt for common software flaws that are critical to stealing data from secure computers. Open-source protocols like OpenSSL, where the flaw was found, are primary targets.

The Heartbleed flaw, introduced in early 2012 in a minor adjustment to the OpenSSL protocol, highlights one of the failings of open source software development.

While many Internet companies rely on the free code, its integrity depends on a small number of underfunded researchers who devote their energies to the projects.

Aunque segun este reporte, es probable que su uso en el ambito comercial haya sido minimo:

Cita:

If criminals found the flaw before a fix was published this week, they could have scooped up troves of passwords for bank accounts, e-commerce sites and e-mail accounts worldwide.

Evidence of that is so far lacking, and it’s possible that cybercriminals missed the potential in the same way security professionals did, suggested Tal Klein, vice president of marketing at Adallom, in Menlo Park, California.

La parte mas interesante, segun yo:

Cita:

The SSL protocol has a history of security problems, Lewis said, and is not the primary form of protection governments and others use to transmit highly sensitive information.

Me vengo a enterar de eso...