Explicación sencilla y práctica para que la gente entienda lo del "Heartbleed" que obviamente los medios ignoran para evitar pánicos a gran escala...
Y si señores, hay gente que ahora mismo tiene información adicional de vuestras vidas (incluyendo contraseñas) y esta vez sin haberse gastado 19 Mil Millones en una app de movil!
Desde luego el bug es muy importante. Que clase de pruebas de calidad han pasado?.
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo. C:>Format \\internet
The type of file format is NTFS
WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.
Ahora lo pillo.
xkcd como siempre es genial explicando cosas difíciles for dummies.
EDIT: Ahora me asalta otra duda. Si es algo tan.. así.. ¿Cómo es posible que hayan tardado dos años en darse cuenta?
Quiero decir que, joder, siguiendo la analogía de xkcd, alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
¿La gente nunca se ha equivocado en estos dos años al hacer un request y les ha devuelto algo sospechoso?
#10alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano
#9Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.
¿En serio? Me suena raro, eso sería casi hacerlo a propósito. Puedes elegir la longitud, pero no dónde empieza. Porque empieza donde el servidor coloque tu respuesta y eso lo elige el servidor, no tú. ¿O lo entendí mal?
#17¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?
Tú mismo puedes comprobar si un servidor tiene este fallo con cualquiera de las herramientas que han salido y fuerzan el fallo. Así que yo de ti cambiaría las contraseñas, pero primero comprobando que el servidor ya está corregido.
#18 Hmm... tienes razón. Me liaron hablando de posición arbitraria... pero en realidad es aleatoria (desde donde se le antoje al servidor meter la cadena)
Puedes, eso si, leer 64KB cada vez, indefinidamente, hasta que la conexión se corte. Eso da mucho margen de leer información importante.
Esto debe ser parte de la conspiración de Microsoft para desprestigiar el software libre de la que hablaba @gallir ayer
Primero sacan una web con logo y todo, luego un comic de XKCD! meten datos falsos a propósito en arstechnica para que los filtre la prensa. Que va a ser lo siguiente, un meme en forocoches?! estamos perdidos
#17 La gran mayoría de webs importantes afectadas ya han parcheado su versión de OpenSSL, así que no son vulnerables a este ataque. El problema viene de que si leyó algún hacker la memoria del servidor ANTES del parcheo, las contraseñas que hubiesen salido de ahí están comprometidas.
El consejo es cambiar las contraseñas que tengan esencialmente más de una semana en todas partes.
#26 Entre ir cambiando de contraseña y tener una contraseña diferente en cada sitio conseguiremos ser absolutamente incapaces de recordar cómo acceder a cualquier servicio. Nunca he entendido este tipo de consejos, alejados de la realidad de la gente "normal".
#18#20#21 Mucha información de la que sacas es mierda inservible, se le ha dado muchísimo bombo a este fallo, saliendo en periódicos de tirada nacional poniéndolo como el fin de internet cuando hace unos pocos años internet era mucho, mucho menos seguro...
Es más, si supiera mucha gente qué tipo de personas tratan con sus datos y tienen acceso a ellos... dejarían de usar internet
#31 mucha de la informacion es mierda, mucha otra no. Tanto se pilla mierda como nombres de usuario y contraseñas (yahoo). Que se pille mierda no desquita todo lo demas. No se que pretendeis diciendo que sale mucha mierda, pues claro que sale mierda... y todo lo demas, ese es el problema.
Es un tira comica es evidente que no voy a pedirle rigor tecnico, pero he visto en un blog de un famoso "hacker" español, decir sandeces como que con el hearbleed se puede accedr a contraseñas de la memoria del servidor NOOOOOOO con el heartbleed solo se puede acceder a datos que esten en la memoria que ejecuta el proceso openssl, seamos serios, desde el heartbleed no se pueden leer datos de otros procesos.
#1 ¿Ignoran? Pero si ha sido noticia en todos los grandes medios. Ayer en la CNN lo explicaron no como en esta tira pero de una forma bastante llana para que lo entendiera todo el mundo.
#30 No en complicado si tienes un método, como añadir a un password base "algo" del servicio al que pertenezca, y y otro "algo" que cambies cada varios meses...
Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"
Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo
O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...
#42 Si claro que puede quedar expuesta,porque esa contraseña se estaria almacenando en la parte de memoria que utiliza el proceso openssl, yo no he dicho en ningun momento que no, creo que no me has entendido o no me he explicado bien. A lo que me refiero es que no puede acceder a otras credenciales o datos, si estas no se estan ejecutanndo bajo el mismo proceso que usa openssl
#35 Aunque sea aleatorio, cuando lo puedes repetir tantas veces como quieras, la probabilidad de encontrar algo útil tiende a 1. Ya se ha comprobado como salen contraseñas, sesiones, cookies, datos útiles. Te puedes descargar gigas ¿con mucha basura? sí pero también con datos útiles.
#36 Supermán no es pero algunos lo pintáis de Heidi. Da la sensación de que queréis que os permitan control remoto sobre la máquina.
No sabemos cuánto han tardado en darse cuenta. Ése es el problema.
Y si señores, hay gente que ahora mismo tiene información adicional de vuestras vidas (incluyendo contraseñas) y esta vez sin haberse gastado 19 Mil Millones en una app de movil!
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo.
C:>Format \\internet
The type of file format is NTFS
WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.
www.meneame.net/story/antiguo-director-seguridad-microsoft-detras-hear
Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.
Ahora lo pillo.
xkcd como siempre es genial explicando cosas difíciles for dummies.
EDIT: Ahora me asalta otra duda. Si es algo tan.. así.. ¿Cómo es posible que hayan tardado dos años en darse cuenta?
Quiero decir que, joder, siguiendo la analogía de xkcd, alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
¿La gente nunca se ha equivocado en estos dos años al hacer un request y les ha devuelto algo sospechoso?
Me gustó más el del if sin llaves con dos goto debajo.
No sabemos cuánto han tardado en darse cuenta. Ése es el problema.
Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano
¿En serio? Me suena raro, eso sería casi hacerlo a propósito. Puedes elegir la longitud, pero no dónde empieza. Porque empieza donde el servidor coloque tu respuesta y eso lo elige el servidor, no tú. ¿O lo entendí mal?
Tú mismo puedes comprobar si un servidor tiene este fallo con cualquiera de las herramientas que han salido y fuerzan el fallo. Así que yo de ti cambiaría las contraseñas, pero primero comprobando que el servidor ya está corregido.
Por ejemplo: filippo.io/Heartbleed/
Puedes, eso si, leer 64KB cada vez, indefinidamente, hasta que la conexión se corte. Eso da mucho margen de leer información importante.
Bonus: www.exploit-db.com/exploits/32745/
Página "oficial" sobre la vulnerabilidad: heartbleed.com/
TOP1000 de las páginas mas visitadas de internet y su estado de vulnerabilidad el día 8 de Abril a las 12 UTC: github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
Comprobador de vulnerabilidad: filippo.io/Heartbleed/
Primero sacan una web con logo y todo, luego un comic de XKCD! meten datos falsos a propósito en arstechnica para que los filtre la prensa. Que va a ser lo siguiente, un meme en forocoches?! estamos perdidos
El consejo es cambiar las contraseñas que tengan esencialmente más de una semana en todas partes.
Es más, si supiera mucha gente qué tipo de personas tratan con sus datos y tienen acceso a ellos... dejarían de usar internet
Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"
Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo
O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...
Es que creo que esa es la madre del cordero
#36 Supermán no es pero algunos lo pintáis de Heidi. Da la sensación de que queréis que os permitan control remoto sobre la máquina.
A cuantos les habras jodido el password
Y contraseñas generadas al azar, usando una utilidad como "pwgen".
Es una explicación simple pero no del todo cierta
www.meneame.net/story/divulgajare-corazon-sangrante
Bukkake de negativos por spam en 3,2,1...