369 meneos
7526 clics
El antiguo director de seguridad de Microsoft, detrás del heartbleed.com
El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL...
|
comentarios cerrados
twitter.com/keyist/status/453388980545810432
Parece toda una campaña orquestada para desacreditar a openssl, y muchos periodistas y bloggers cayeron en la trampa por el sensacionalismo (como el de "Dos terceras partes de Internet en peligro" y cosas similares).
...espera que mande una de futbol...
... con balones de grafeno ...
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Following up on the CVE-2014-0160 vulnerability, heartbleed. We've
created some iptables rules to block all heartbeat queries using the
very powerful u32 module.
The rules allow you to mitigate systems that can't yet be patched by
blocking ALL the heartbeat handshakes. We also like the capability to
log external scanners
The rules have been specifically created for HTTPS traffic and may be
adapted for other protocols; SMTPS/IMAPS/...
# Log rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"
# Block rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
# Wireshark rules
$ tshark -i interface port 443 -R 'frame[68:1] == 18'
$ tshark -i interface port 443 -R 'ssl.record.content_type == 24'
We believe that this should only be used as a temporary fix to decrease
the exposure window. The log rule should allow you to test the firewall
rules before being used in production. It goes without saying that if
you have any suggested improvements to these rules we would be grateful
if you could share them with the security community.
Clearly, use of these rules is at your own risk
ECSC SOC Team Researchers:
Adam Shore
Alex Innes
Fabien Bourdaire
Y las otras pruebas que ofrece el artículo son bastante circunstanciales también: que registraron un dominio .com y que el anuncio coincidió con el fin del soporte de Windows XP.
¿Realmente creéis que es una campaña para desprestigiar a Linux? ¿Cuántos medios no especializados han citado a Linux en su noticia?
Por supuesto no estoy defendiendo la forma en la que los medios generalistas dieron la noticia, eso ya lo sabéis algunos. Pero las evidencias que cita el artículo para defender que exista una mano negra no me parecen concluyentes.
twitter.com/gallir/status/453926366896218113
twitter.com/gallir/status/453927393032679424
twitter.com/gallir/status/453946144096149504
El bug es grave, pero se dijeron muchas burradas en los medios.
Que los medios digan tonterias, no es nuevo, y que "en rio revuelto...", tampoco.
Pero por favor no minimicemos la vulnerabilidad.
#32 Y es verdad. Lo más sensato es asumir que la vulnerabilidad fue explotada, y que todas las contraseñas de Yahoo y Twitter (entre otros sitios grandes), fueron vulneradas.
A menos que tengan más "burocracia" y pasar un testing automático y manual más férreo para asegurar que no se han introducido regresiones al corregir el bug, no veo por qué no iban a poder...
1.- Más mano de obra. Tanto a la hora de testear como a la hora de parchear y generar los paquetes. Los tests son mucho más rápidos si consigues que 100 personas prueben tu parche (y en una vulnerabilidad así, conseguir 100 testers es calderilla) que si tienes a menos personas probando en diferentes plataformas (32 bits, 64 bits, diferentes versiones del SO, etc...).
2.- No hay horarios. Y con esto no quiero decir que los de la comunidad del software libre nos matemos a trabajar. Con esto quiero decir que hay desarrolladores y usuarios desperdigados por todo el mundo, de forma que siempre hay alguno que está en su hora de "echarle una manita a la comunidad" y no hay que esperar a que llegue el horario de trabajo o a que el trabajador reciba la llamada de emergencia y se desplace a las oficinas (o a donde quiera que trabaje).
Estos dos factores hacen que los desarrollos de bugs urgentes sean mucho más rápidos que lo que cualquier organización privada pueda movilizar.
twitter.com/OpenSSLFact
Por cierto esta técnica es tan usual que se llama FUD (fear uncertainty and doubt)
Logo con un diseño supercuidado, página muy flat, en blanco, con zonas resaltadas que sí interesan y orientadas a la memoria visual, todas las distro que sufren el bug mencionadasy las no afectadas puestas de una manera que parece que son sino culpables prácticamente culpables. Vamos si le añades que el ex CEO de seguridad de M$ está detrás de la página, me cuadra todo.
Y la gente diciendo que es casualidad que el fin de soporte de Windows XP y esto haya coincidido
La radios locales de este país están haciendo entrevistas a empresas de desarrollo a ver cómo les afecta el fin del soporte, preguntando en qué cambia el uso del ordenador que le dan los usuarios, eso señores es atender una noticia fresca, cubrir una demanda y cómo tal es mala publicidad para M$, porque las soluciones que M$ está dando es compren un licencia de un nuevo SO nuestro, obvian el comentar que igual el HW no puede mover esa nueva versión pero qué más da.
Y ante algo así qué se hace, pues recurrir al departamento de marketing/lavandería/imagen corporativa. Señores miren la capitalización bursátil www.google.com/finance?q=microsoft&ei=zERGU9iAEoqMwAOCswE y después recuerden que el mundo sigue siendo capitalista, y sigue valiendo la regla del todo vale mientras la alegalidad que cometa me de publicidad, pueda "subvencionar" un par de lobbies, y mis periodistas contratados puedan darle salida a mis noticias desprestigiando al resto cuando estoy bajo el foco por noticias que no deseo.
Con la acción a $40.49 y una capitalización de 335.93B (billones americanos = 1000 millones europeos) que nadie piense que el azar existe, puede existir una pequeña noción de pseudoazar.
www.meneame.net/user/gallir/history
Al igual que le he visto algún comentario con más negativos de los que te están poniendo a ti.
Por supuesto, de Microsoft. A mí el coche no me arrancó esta mañana y la culpa también era de Microsoft.
Por otro lado me la suda si Microsoft intenta criticar los programas de código abierto.
Vulnerabilidades hay en todas partes y una empresa como dinero a espuertas como Oracle tarda meses en arreglarlas.
#30 uy si... la tecnología es el nuevo dios que piensa por su cuenta y resistirá al humano
Total, super-sensacionalista, apenas se pueden ver cookies, sesiones, datos del server, datos de otros vhosts en el mismo server, credenciales en claro, etc..
#31 Si solo pudieras hacerlo una vez ok, pero puedes repetir tantas veces como quieras el bug, sin ningún límite en cuanto a temporización o intentos, después de unas horas es prácticamente imposible que NO hayas sacado ningún dato que comprometa seriamente el server o las apps que hay corriendo en el.
"Decir 2 terceras partes es exagerado"
Lo es. De los cerca de diez servidores que administro, sólo dos tenían este fallo de seguridad.
"el fallo de seguridad no es tan grave, porque quien lo sacó trabajó para Microsoft".
La segunda parte de tu frase, a partir del "porque", te la has sacado de la manga directamente.
No te digo que no, pero si lo sacan en 24 horas será menos testeado y menos revisado que el que ha salido para este bug.
Yo lo veo bastante claro. Ninguna empresa privada de software tiene ahora mismo una capacidad de trabajo instantáneo como la comunidad del software libre. Esto es: no pueden coger a tanta gente de tantos perfiles diferentes para trabajar en una sola cosa en tan poco tiempo.
Solo tienes que buscar las comparativas entre cuanto tarda Microsoft o Apple en solucionar un bug y cuánto tarda por ejemplo Debian.
#31 A yahoo le capturaron usuarios y contraseñas en texto plano: blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/ (al final del artículo)
www.genbeta.com/seguridad/heartbleed-otro-fallo-extremadamente-grave-e (casi al final)
Y dentro de los servidores hay que ver qué servidores estaban afectados. Si tu empresa es pequeña como si tienes todos los servidores afectados pero dicen que Twitter, facebook, google y yahoo ya han corregido el fallo, por tanto estaban afectados ¿cuánta gente usa esos servidores? muchos.
Afecta tanto de servidor a cliente como de cliente a servidor. Todas las versiones de OpenSSL inferiores a la 1.0.1g están afectadas.
Eso también incluye a los móviles tanto Android como IOS. Aunque el sistema no lleve OpenSSL (como IOS) puede haber sido instalada por terceras aplicaciones.
El caso de Android 4.1.1 con Chrome es casi seguro. El 4.2.2 no, pero siempre depende de las aplicaciones. ROMS populares de Android como Cyanogen están afectadas. Google ya ha lanzado actualizaciones de Android.
Hay que actualizar móviles, servidores, tablets, etc..
Pueden ser miles de millones de instalaciones. Y si esto no es gordo entonces que corra el pegamento.
Un gravísimo agujero de seguridad compromete a las dos terceras partes de Internet
Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs
También contraseñas y números de tarjeta de crédito, correo y mensajería en línea
De lo que la propia autora se está retractando:
twitter.com/mercemolist/status/454182010920402944
twitter.com/mercemolist/status/454182512248766464
@pabloromero el título de mi artículo "Un gravísimo agujero de seguridad compromete a las dos terceras partes de Internet" es incierto
@pabloromero si es posible, habría que cambiar el título a, por ej: "Un grave fallo amenaza las comunicaciones seguras en Internet"
Y lo que hizo hearbleed (que es lo que se critica en el artículo enlazado, no se dice que no sea grave) es de lo peor, muy bien representado por este tuit:
twitter.com/keyist/status/453388980545810432
Es decir, el bug fue una mierda, una catástrofe, pero:
1. En heartbleed se monta una campaña con datos falsos (lo de los 2/3 de servidores de internet afectados) sin dar tiempo siquiera a que las distros actualicen. No tiene justificación, era obviamente una campaña de propaganda.
2. La extensión heartbeat tiene dos años (es unas pocas horas antes del 1 de enero de 2012), y no está en todas las distribuciones ni en todos los OpenSSL dando servicios, datos que se obviaron completamente al dar la información.
3. En los medios se replicaron esas cifras falsas sin analizar antes, o poner en duda que estén afectados como 600 millones de servidores (cuando la realidad es que las estimaciones actuales están en los 600.000
Insisto, heartbeat ha hecho una putada, a posta y jodiendo a todas las distros y sysadmins, pero les salió bien la jugada... hasta se nos acusa de minimizar la gravedad del bug porque criticamos la campaña y desinformación, especialmente por 1) y 2).
Todas las vulnerabilidades se encuentran "a posta", no se descubren solas, todas tienen a un equipo detrás que busca la vulnerabilidad, lo comunica (o no) y la explota, y mejor que sea así y lo comuniquen, porque la alternativa es que hubiera un grupo más o menos reducido de personas explotando esto durante años y ni dios se daría cuenta jamás.
Igual ahora esta vulnerabilidad por el simple hecho de que la ha descubierto un tipo que tenía relación con Microsoft en algún momento es una campaña de desprestigio, pero los millones de bugs que le encuentran a todos los sistemas todos los días, incluido a Windows, no son campañas, los hacen equipos de monjitas de la caridad por amor al arte.
Por cierto el tipo era el director de seguridad, vaya sorpresa, un tío que se dedica a la seguridad encontrando fallos de seguridad, quien se lo iba a esperar.
El daño ya está hecho, solo hay que ver algunos comentarios apocalípticos de esta noticia. (Que por cierto me gustaría saber a que se dedican)
Y aunque lo hayan hecho, no es la forma ética (ni acostumbrada) de hacerlo. Pero sí que registraron el dominio y hasta hicieron un logo para publicarlo.
#58 Yo no estoy de acuerdo con que todas las vulnerabilidades se encuentran "a posta", en muchos casos han aparecido sin buscarlas.
¿Podrías poner fuentes fiables de lo de Android?¿En que te basas para afirmar eso de que los clientes también son vulnerables?
¿Pero estamos hablando de este bug o de otros posibles fallos de seguridad?
Hay un fallo de seguridad, sí. Ya está corregido. Antes de corregirlo, a más de uno le han pillado en bragas, vale.
¿Qué tiene que ver lo que pongo en #64 con que dudo que todos esos dispositivos tengan un agujero de seguridad? Por no contar con que ya estarán desplegándose los parches en móviles también... De hecho, creo que por ejemplo iOs no se ha visto afectado (todos los iCosas). De Android no lo sé, supongo que dependerá de la versión.
OpenSSL is written by monkeys (2009)
news.ycombinator.com/item?id=7556407
#62 Ok, pues se subieron al carro y le dieron bombo, ¿esto hace menos grave el bug? ¿dónde esta el sensacionalismo?
Repito, yo antes de parchear mis servidores, estuve jugando un poco con algún POC, etc, y saqué credenciales válidas, cookies, etc, igual que yo, miles de personas lo han podido hacer en servidores importantes de verdad (vease yahoo) que guardan credenciales de millones de personas, y lo han podido hacer ni se sabe cuanto tiempo.
Aunque solo afectara a yahoo, y no a los % de servers de los que se habla, decir que es una de las cagadas de la década seguiría sin ser sensacionalista, porque lo es, porque se ha podido filtrar muchísima información en muchísimos servidores.
Un ejemplo: cuando robaron la BD de Adobe, se lió una pardísima, con razón, porque se pudieron sacar las credenciales de millones de personas, que además la mayoría usarán las mismas en otros servicios, y así..
Con este bug tenemos lo mismo: se pueden sacar credenciales de personas (como mínimo) pero además no hay datos, ni los habrá, sobre cómo de grandes han sido las fugas de información, pero es un hecho que han sucedido y en servidores muy importantes.
En fin, a mi lo que me parece sensacionalista es sacar una portada como esta, diciendo que todo es una campaña orquestada para desprestigiar a OpenSSL, insinuando que si no hubieran sacado heartbleed.com este error hubiera pasado desapercibido entre los otros CVE, cuando es evidente que no es asó.
En cuanto a los móviles -> #56
P.D: están sacando actualizaciones, sí, pero están o estuvieron afectados y lleva ahí el fallo dos años en el que pudo ser explotado. También, sacan actualizaciones ¿cuántos van a actualizar? ¿cuánto tiempo tardará? no es tan fácil como sacar actualizaciones y todo resuelto.
> Siempre tan educado tu ya ni te contesto
Decir que "hablas cagadas", cuando te demuestro que lo haces y dices cosas falsas, no lo veo de mala educación. A menos que te moleste la palabra "cagadas", entonces la cambio por "tonterías". Pero te repito: respondiste con tanta autoridad sin siquiera documentarte.
Es la arrogancia de la ignorancia, que se ofende luego por una palabra. Normal, suelen tener los puños de hierro y la mandíbula de cristal.
security.stackexchange.com/questions/55119/does-the-heartbleed-vulnera
#57 muy cutre presionar a esa periodista que además es histórica y con ayuda de los fans mentecatos. Ella no es una técnico y sólo ha escrito cifras en línea con lo que circulaba hasta la fecha. Y no ha escrito ninguna barbaridad.
Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs
También contraseñas y números de tarjeta de crédito, correo y mensajería en línea
...y donde está ese gran error si se pueden sacar de memoria.
De conspiranoias con OpenSSL seguramente, pero es mejor la de los masones seculares de Rockefeller en el Meneame, un agujero identificado desde hace años para ralentizar los procesos del sistema.
Sobre la noticia, el titular es erróneo, y lo de la memoria ya fue explicado y matizado, por ejemplo blog.erratasec.com/2014/04/why-heartbleed-doesnt-leak-private-key.html
Private keys are still not so likely to be exposed, but still much more likely than my original analysis suggested.
Note: By the way, the major thing that is allocated/freed is the decrypted message buffer -- meaning your HTTP traffic on top of SSL. That means the major thing that leaks is HTTP headers -- namely session cookies and login passwords. Thus, while your SSL certificates are likely safe, your passwords aren't.
(y yo lo había dicho antes, twitter.com/gallir/statuses/453879009794080769, sin haberlo analizado, pero es conocimiento básico de cómo funciona la gestión de memoria en los sistemas operativos modernos).
Resumen, todo el mundo se apunta rápido al carro de los números y afirmaciones exageradas, pero muy pocos saben el fondo, o se documentan.
Is there a bright side to all this?
For those service providers who are affected this is a good opportunity to upgrade security strength of the secret keys used. A lot of software gets updates which otherwise would have not been urgent. Although this is painful for the security community, we can rest assured that infrastructure of the cyber criminals and their secrets have been exposed as well.
Y ahora hablamos en si esta vulnerabilidad fue introducida o no a posta.
¿analizando el codigo es un error factible?
La NSA pagó 10 millones a RSA por distribuir un cifrado inseguro
www.meneame.net/story/nsa-pago-10-millones-rsa-distribuir-cifrado-inse
Un catálogo interno revela que la NSA tiene "backdoors" en multitud de dispositivos [EN]
www.meneame.net/story/catalogo-interno-revela-nsa-tiene-backdoors-mult
La cadena de custodia: NSA y software libre
www.meneame.net/story/cadena-custodia-nsa-software-libre
Linux pudo haber incluido en su generador de números aleatorios una puerta trasera de la NSA [ENG]
www.meneame.net/story/linux-pudo-haber-incluido-generador-numeros-alea
#60 Hombre, cualquiera que haga esfuerzos al maximo para difundir una vulnerabilidad importante, siempre que diga al descubridor original, está bien.
Por otra parte, la arrogancia y la ignorancia es lo que dices en #75
"sin haberlo analizado, pero es conocimiento básico de cómo funciona la gestión de memoria en los sistemas operativos modernos)"
Que perfección, que sabiduría, pero incluso expertos en el tema erraron en sus precipitados análisis precisamente por hacer suposiciones de cómo funcionan las cosas sin haberlo mirado y probado, el blog que enlazas con la rectificación sobre las claves privadas es un ejemplo clarísimo de ello.
No es tan difícil, te bajas los PoC, código, lo estudias, y luego dices si es exagerado o no, y los datos que se filtran y los que no, yo ya lo hice y en los comentarios que puse en las noticias me basé en eso para corroborar la gravedad de la historia, y no en si el que hizo una web puso un logo o no o no se que otras conspiranoias.
En este articulo se explica con detalle hasta que punto es peligroso:
www.elladodelmal.com/2014/04/heartbleed-y-el-caos-de-seguridad-en.html
aunque no aborda el tema de los móviles
Por otro lado Google sabia del fallo desde Diciembre de 2013, por lo que la teoría de gallir sobre la rapidez de una campaña de desprestigio del software libre no tiene ningun sentido.
Ademas el razonamiento es ridículo, porque la NSA controla en realidad las distribuciones Linux y las principales distros están todas trajinadas:
igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-t
a quien menos le interesaría algo así es precisamente a la NSA que también controla la seguridad de Microsoft, y es absurdo pensar que Microsoft haría eso por un propósito comercial. Esto es mas importante y puede mover mucha pasta.
Debe quedar mucho agujereado todavía, y ni a Microsoft ni a la NSA le interesaría cambiar esa situación que ha estado bajo su control durante tanto tiempo.
Salu2
seclists.org/oss-sec/2014/q2/34
seclists.org/oss-sec/2014/q2/49
El bug existe, es muy muy grave y esta muy extendido (como minimo un 20% de los servidores, segun otros un 60%), asi lo hubiera anunciado el actual equipo de seguridad de Microsoft en persona (y no un ex-empleado) a bombo y platillo el dia de lanzamiento de Windows 8, eso no cambia en absoluto la existencia, ni la seriedad del bug.
Me parece mucho mas FUD la campaña que se esta creando en contra del descubrimiento y campaña de concienciacion: lo ha anunciado un ex-MS (experto en seguridad, por cierto)... es el dia de fin de soporte de WinXP.... windows tambien tiene bugs.... y otros "y tu mas" casi como los politicos.
Todo esto en vez de avisar y concienciar a los usuarios de que cambien sus contraseñas inmediatamente despues de que cada servicio anuncie que ha parcheado sus servidores, acutalizar sus equipos a la version 1.0.1g de OpenSSL, y dar una solucion temporal (recompilar con -DOPENSSL_NO_HEARTBEATS). Dar credito a los verdaderos descubridores (Equipo de Codenomicom y el ingeniero de Google). Que es lo minimo que me esperaba de la comunidad de software libre :(.
Cosa que curiosamente si hace la web criticada (y supuestamente asociada a Microsoft) :S.
#26
- ¡¿Declararse en conflicto de intereses?!
- ¿¡Estamos locos!?
- ¿¡Ahora la gente no puede publicitar el descubrimento de una vulnearabilidad si no trabajan para la esa misma empresa (o trabajan para el rival... dicho sea de paso los bugs de windows se anuncian a bombo y platillo en las webs de SL, menudo doble estandar seria)?!
- ¡¿Desde cuando existe incompatibilidades en la ciencia o la ingenieria?!
Aqui anuncian el descubrimiento de un bug y sus gravedad, ambas cosas son comprobables y reproducibles.
Dicho sea de paso, el bug lleva reportado a OpenSSL un tiempo, pero el parche solo ha salido express una vez que la web que lo anuncia (heartbleed.com/) se ha vuelto viral.
Hasta arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens- dio esos números erróneos (Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping) y súper inflados, y para esto no hay excusa, por más grave que sea el bug.
Precisamente, en investigaciones científicas es donde más se tienen en cuenta los conflictos de interés: ccnmtl.columbia.edu/projects/rcr/rcr_conflicts/foundation/
Para evitar que el interés del investigador por llegar a una determinada conclusión sesgue el resultado de la investigación. Por eso mismo se intentan evitar a priori los conflictos de interés para no tener que justificar a posteriori que el resultado no se ha visto sesgado por los intereses en conflicto.
Esta aplicación de conflicto de intereses no es aplicable a este caso, claro. O en realidad sí, pero es beneficioso: una empresa de la competencia tal vez tenga más interés y ponga más empeño en encontrar un fallo de seguridad. Eso es bueno.
Donde se dice que es perjudicial el conflicto de intereses es en la forma de comunicar el bug, que fue sensacionalista, exagerada y supuestamente interesada.
Y, para acabar, ya advertía en mi comentario #26 sobre la facilidad con la que anunciar un conflicto de intereses se puede confundir con un ad hominem circunstancial («dices que OpenSSL no es seguro porque es lo que te interesa porque te paga Microsoft»).
Pues a usar OpenBSD y a vivir feliz.
Aquí hay bastante información:
thread.gmane.org/gmane.os.openbsd.misc/211952/focus=211963
www.trollaxor.com/2013/07/why-i-abandoned-openbsd-and-why-you.html
www.linuxjournal.com/content/allegations-openbsd-backdoors-may-be-true
no existe sistema público que no esté infiltrado.
Sobre lo de que lo publicaron a saco sin avisar a nadie ya puse los links en #80.
Después evidentemente muchos medios publicaron la información sin analizar bien los datos, como suele pasar siempre que hay noticias de ciencia y tecnología, pero decir que todo esto es una campaña orquestada por un tío de Microsoft lanzada a propósito cuando caduca el soporte de Windows XP huele a teoría de conspiración que apesta
NO fué trajinado por el FBI.
Venga hombre... no me creo que en el 2014 alguien piense que existe algun sistema operativo virginal
Mas fuentes:
cryptome.org/2012/01/0032.htm
arstechnica.com/information-technology/2010/12/fbi-accused-of-planting
www.osnews.com/story/24142/More_Details_Emerge_Regarding_OpenBSD_FBI_B
www.theregister.co.uk/2010/12/15/openbsd_backdoor_claim/
www.cnet.com/news/report-of-fbi-back-door-roils-openbsd-community/
... y por no mencionar que a nivel de hardware y fabricantes también está todo infiltrado:
www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-
joer, si hasta tienen montado un servicio por catálogo para los empleados. Se entiende que es jodida la sensación de que la seguridad del software libre es también una tomadura de pelo, pero contra antes haya esa consciencia mucho mejor. Eso si es que tiene algún arreglo, claro.
Porque todo puede ser también un gran teatro para que la gente acepte la pérdida total de privacidad antes de instaurar la socialización del control de un gran hermano.
Yo no veo que con estos escándalos se desarrollen nuevos cifrados, protocolos de seguridad en la fabricación, etc... ¿Tu si?. ¿Donde esta esa comunidad desarrollando nuevas cosas?. Esa comunidad está totalmente infiltrada como se ve en todos esos episodios. Universidades, individuos... todo.
> Admito que el enunciado puede dar lugar a confusión para alguien que no entienda del tema, pero de ahí a decir que ponen datos falsos a propósito va un trecho. En la respuesta a "How widespread is this?" simplemente listan el tipo de software que se puede ver afectado
Lo que es absurdo, es como encontrar una mutación de virus de la gripe mortal y decir que pueden estar afectados 7.000 millones de personas. Es algo que no aceptaríamos en medicina, no sé por qué nos parece normal en informática/seguridad.
Quizás una pista: demasiados cheerleaders en el mundillo.
"Parece toda una campaña orquestada para desacreditar a openssl, y muchos periodistas y bloggers cayeron en la trampa por el sensacionalismo "
o en #0
"El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL"
o en #57
"1. En heartbleed se monta una campaña con datos falsos (lo de los 2/3 de servidores de internet afectados) sin dar tiempo siquiera a que las distros actualicen. No tiene justificación, era obviamente una campaña de propaganda."
Es decir, defiendes que es una campaña orquestada, que es un tema tratado con sensacionalismo, que se han dado datos falsos a propósito como una campaña de propaganda... y no te recuerda a nada a la gente que decía que la gripe A era una campaña de las farmacéuticas, que se filtraban datos falsos, etc.. pues para mi es lo mismo, el ejemplo lo has puesto tu, pero viene al pelo.
Además, ¿conoces el dicho de mirar el dedo en vez del cielo? porque lo de los últimos días, ese empecinamiento en querer fijarse en estas chorradas de que si la cifra es el x% o el y%, o que si está detrás fulanito o menganito, en vez de analizar la gravedad y el alcance real del asunto es de traca. Por ejemplo la escena en el twitter vs Merce me parece de traca al hilo de eso.
¿Sabes tu el alcance el bug? llevas días diciendo que los porcentajes son erróneos, pero yo no he visto un solo dato fiable, se basa todo en estimaciones y seguramente las tuyas tampoco sean muy fiables. Alguien ha añadido el impacto en los clientes? ayer probé versiones vulnerables de wget y links, y como esos habrá cientos de paquetes de clientes, apps, appliances, etc que son vulnerables, ¿alguien ha tenido en cuenta eso en las estimaciones?, si yo me pongo en plan crítico con unos datos, lo mínimo que puedo hacer es molestarme en calcular yo unos datos correctos, y no "esto está mal, porque yo lo valgo!"
Yo lo siento, pero lo único sensacionalista que he visto es lo tuyo, me parece una forma horrible de querer llamar la atención, aprovechar el tirón del bug para, aprovechando la mala interpretación de unas cifras y temas que no tienen nada que ver con el fondo del asunto, sacar chicha de donde no la hay.
twitter.com/gallir/status/454355417037275136
Y lo que dice en ese comentario que recomiendo leer:
OpenSSL is not developed by a responsible team.
Y ahora sí, al ignore.
Saludos
Además dice claramente qué versiones están afectadas y cuáles no, incluyendo las fechas.
Si yo digo que se han encontrado restos de carne de caballo en ciertos productos de Findus, que Findus es una marca popular porque la distribuye Tesco, que es la cadena mayoritaria en UK con un 30% de la cuota de mercado, tú no concluyes que el 30% de la carne que se vende en UK tiene restos de caballo.