Explicación sencilla y práctica para que la gente entienda lo del "Heartbleed" que obviamente los medios ignoran para evitar pánicos a gran escala...
Y si señores, hay gente que ahora mismo tiene información adicional de vuestras vidas (incluyendo contraseñas) y esta vez sin haberse gastado 19 Mil Millones en una app de movil!

Desde luego el bug es muy importante. Que clase de pruebas de calidad han pasado?.
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo.
C:>Format \\internet
The type of file format is NTFS

WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.

oh no... xkcd tambien trabaja para Microsoft!!!

#2 Habrás hecho una copia en un diskete antes, no?

#4 Ya tenía una copia en Megaupload, no hace falta ninguna más.

#2 Erróneo. Internet no puede estar en NTFS, como mucho en ReiserFS.

Este tipo es genial haciendo viñetas. Muy bien explicado y un grave agujero de seguridad.

#1 Los medios ignoran lo del Heartbleed, ¿o es que lo del Heartbleed no es tan grave como lo pintan?
www.meneame.net/story/antiguo-director-seguridad-microsoft-detras-hear

Mola pero no es posible solo con 500, sino que da hasta 65535.

Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH

Ahora lo pillo.
xkcd como siempre es genial explicando cosas difíciles for dummies.


EDIT: Ahora me asalta otra duda. Si es algo tan.. así.. ¿Cómo es posible que hayan tardado dos años en darse cuenta?
Quiero decir que, joder, siguiendo la analogía de xkcd, alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
¿La gente nunca se ha equivocado en estos dos años al hacer un request y les ha devuelto algo sospechoso?

Que grande es el tipo de XKCD.

#8 xkcd.com/1353/

Otro bug más relacionado con el tamaño de los Strings.

Me gustó más el del if sin llaves con dos goto debajo.

#10 alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.

Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano

¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?

#9 Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.

¿En serio? Me suena raro, eso sería casi hacerlo a propósito. Puedes elegir la longitud, pero no dónde empieza. Porque empieza donde el servidor coloque tu respuesta y eso lo elige el servidor, no tú. ¿O lo entendí mal?

#17 ¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?

Tú mismo puedes comprobar si un servidor tiene este fallo con cualquiera de las herramientas que han salido y fuerzan el fallo. Así que yo de ti cambiaría las contraseñas, pero primero comprobando que el servidor ya está corregido.

Por ejemplo: filippo.io/Heartbleed/

#18 Lo entendiste bien, no se puede elegir donde empieza.

#18 Hmm... tienes razón. Me liaron hablando de posición arbitraria... pero en realidad es aleatoria (desde donde se le antoje al servidor meter la cadena)

Puedes, eso si, leer 64KB cada vez, indefinidamente, hasta que la conexión se corte. Eso da mucho margen de leer información importante.

Bonus: www.exploit-db.com/exploits/32745/

Algunos links de interés:

Página "oficial" sobre la vulnerabilidad: heartbleed.com/

TOP1000 de las páginas mas visitadas de internet y su estado de vulnerabilidad el día 8 de Abril a las 12 UTC: github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

Comprobador de vulnerabilidad: filippo.io/Heartbleed/

Esto debe ser parte de la conspiración de Microsoft para desprestigiar el software libre de la que hablaba @gallir ayer
Primero sacan una web con logo y todo, luego un comic de XKCD! meten datos falsos a propósito en arstechnica para que los filtre la prensa. Que va a ser lo siguiente, un meme en forocoches?! estamos perdidos

#17 La gran mayoría de webs importantes afectadas ya han parcheado su versión de OpenSSL, así que no son vulnerables a este ataque. El problema viene de que si leyó algún hacker la memoria del servidor ANTES del parcheo, las contraseñas que hubiesen salido de ahí están comprometidas.

El consejo es cambiar las contraseñas que tengan esencialmente más de una semana en todas partes.

"Isabel wants pages about 'snakes but not too long'" Menuda está hecha la Isabel

#17 Deberíamos acostumbrarnos a cambiar nuestras contraseñas periódicamente, independientemente de bugs o robos de datos puntuales.

#1 Sí, vamos, a los no iniciados nos ha quedado clarísmo.

¿Está afectado ssh también por ésta vulnerabilidad? ¿se podría hacer un exploit para ssh?

#28 según tengo entendido, no.

#26 Entre ir cambiando de contraseña y tener una contraseña diferente en cada sitio conseguiremos ser absolutamente incapaces de recordar cómo acceder a cualquier servicio. Nunca he entendido este tipo de consejos, alejados de la realidad de la gente "normal".

#18 #20 #21 Mucha información de la que sacas es mierda inservible, se le ha dado muchísimo bombo a este fallo, saliendo en periódicos de tirada nacional poniéndolo como el fin de internet cuando hace unos pocos años internet era mucho, mucho menos seguro...

Es más, si supiera mucha gente qué tipo de personas tratan con sus datos y tienen acceso a ellos... dejarían de usar internet

#31 mucha de la informacion es mierda, mucha otra no. Tanto se pilla mierda como nombres de usuario y contraseñas (yahoo). Que se pille mierda no desquita todo lo demas. No se que pretendeis diciendo que sale mucha mierda, pues claro que sale mierda... y todo lo demas, ese es el problema.

#31 #32 Bueno, que no es tan fácil como lo pintan y que no puedes realizar ataques dirigidos, consigues cosas aleatorias.

#9 Eso te lo acabas de inventar, y te aseguro que no es verdad.

Es un tira comica es evidente que no voy a pedirle rigor tecnico, pero he visto en un blog de un famoso "hacker" español, decir sandeces como que con el hearbleed se puede accedr a contraseñas de la memoria del servidor NOOOOOOO con el heartbleed solo se puede acceder a datos que esten en la memoria que ejecuta el proceso openssl, seamos serios, desde el heartbleed no se pueden leer datos de otros procesos.

#32 Como te ha dicho #33 el heartbleed es un bug serio SIIII, pero no es superman

#28 No SSH funciona con TLS

¿En todos estos dos años desde que se conoce?

#1 ¿Ignoran? Pero si ha sido noticia en todos los grandes medios. Ayer en la CNN lo explicaron no como en esta tira pero de una forma bastante llana para que lo entendiera todo el mundo.

#17 Tiene sentido que cambies tus contraseñas periódicamente, independientemente de que este u otros bugs te hayan podido afectar o no

#30 No en complicado si tienes un método, como añadir a un password base "algo" del servicio al que pertenezca, y y otro "algo" que cambies cada varios meses...

Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"

Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo

O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...

#35 Por ejemplo una contraseña enviada por HTTPS (que usa openSSL), ¿seguro que no puede quedar expuesta por heartbleed?

Es que creo que esa es la madre del cordero

#42 Si claro que puede quedar expuesta,porque esa contraseña se estaria almacenando en la parte de memoria que utiliza el proceso openssl, yo no he dicho en ningun momento que no, creo que no me has entendido o no me he explicado bien. A lo que me refiero es que no puede acceder a otras credenciales o datos, si estas no se estan ejecutanndo bajo el mismo proceso que usa openssl

Cuanto más hablen los medios de un bug o un virus, menos peligroso es. ¿Recordáis el I LOVE U?

#31 Es como que me digas que el phishing no es importante porque solo una pequeñisima parte de la población cae en él.

Stupid Meg

#35 Aunque sea aleatorio, cuando lo puedes repetir tantas veces como quieras, la probabilidad de encontrar algo útil tiende a 1. Ya se ha comprobado como salen contraseñas, sesiones, cookies, datos útiles. Te puedes descargar gigas ¿con mucha basura? sí pero también con datos útiles.

#36 Supermán no es pero algunos lo pintáis de Heidi. Da la sensación de que queréis que os permitan control remoto sobre la máquina.

#41 "password base: "M3n3ame""

A cuantos les habras jodido el password

Edit

#24 see #21.

#41 Mejor usar una aplicación keyring como "keepass" o "keepassx".

Y contraseñas generadas al azar, usando una utilidad como "pwgen".

#34 see #21, sorry about #50.

#48 Mejor usar "fidelio"

#12 El "title" de esta es un RELOL.

#1 #2 #3 #4 #5 #6 #7 #8 #9 #10 #11 #12 #13 #14 #15 #16 #17 #18 #19 #20 #21 #22 #23 #24 #25 #26 #27 #28 #29 #30
Es una explicación simple pero no del todo cierta
www.meneame.net/story/divulgajare-corazon-sangrante

Bukkake de negativos por spam en 3,2,1...