OFF-Topic

Se descubre el mayor fallo de seguridad de la historia

Videal
Videal #61 Abr '14

A mi modo de ver lo mas importante del bug es que te pueden haber robado millones de datos importantes y es muy posible que nunca lo sepas. Tu manera de actuar dependerá de tu nivel de paranoia...

Como ya han dicho por ahí arriba para el usuario normal lo mejor es no logearte ahora en ningún sitio y dentro de un tiempo, cuando sepas seguro que ya han parcheado el lugar, cambiar las contraseñas.

Para las empresas y demás es un show... te pueden haber llegado a robar tus claves privadas, podrían así desencriptar todo el tráfico, incluso el antiguo... y si lleva 2 años... pfff

Da miedo...

1
sagha
sagha #62 Abr '14

#3 yo eso ya lo hago. llamo a mi mujer y le digo que la ponga.

algunos tecnologicamente estais muy retrasados xD

y volviendo al tema!!!! omg me va a pasar lo que a sheldon:

5
NeV3rKilL
NeV3rKilL #63 Abr '14 :psyduck:

#15 Tenía entendido que este bug era un problema de la librería que al cabo de un rato idle enviaba packetes para comprobar que la conexión no estuviese muerta lo cual no significa que haya que cambiar los certificados.

Las grandes compañías estuvieron avisadas antes de la publicación del bug.

Por mi parte mañana configuraré keepass para que me avise de que hay que generar nueva clave en todas las webs, ya ves tu el problema xD

Igualmente a los pobres plebeyos es a quienes menos afecte este bug. Seguro que lso datos de la mayoría ya corren por redes donde no le importamos a nadie.

1 respuesta
gAdrev
gAdrev #64 Abr '14

No cabe duda que es un fallo bastante relevante, pero, ¿el mayor de la historia?

De la historia de OpenSSL quizá. Windows, conectar un PC a internet y no poder usarlo, Sasser anyone?

-OnE-
-OnE- #65 Abr '14 :psyduck:

Me parece que no sois conscientes de las implicaciones que esta vulnerabilidad supone y ha supuesto durante dos años.

1 1 respuesta
B
[Borrado] #66 Abr '14

#65 Exacto la gente no se da cuenta de que esto supone que durante 2 años, la mayoría de comunicaciones que se hacían en internet y que se suponía que eran seguras no lo eran.

Esta vulnerabilidad deja con el culo al aire los certificados y toda la encriptacion en la cual están basadas las comunicaciones seguras de muchas paginas webs de bancos,tiendas,administración publica,...

Demasiados datos confidenciales que podrían caer en manos no deseadas...

2 respuestas
Ald
Ald #67 Abr '14

La cuestión es, al ciudadano de a pie en que le puede repercutir esto?

1 respuesta
NeV3rKilL
NeV3rKilL #68 Abr '14 :psyduck:

#66 https está petado hace años al igual que la inmensa mayoría de protocolos que se utilizan en internet.

Eso de que los navegadores acepten certificados derivados también es para mear y no echar gota.

No sé dónde intentas llegar? Vivías en el país de la piruleta y creías que antes de este bug todo era seguro?

#67 Perdida de contraseñas. Como cuando entraron en PSN o en 1000 servicios. También hay que remarcar que la información que se puede sacar con este bug es limitada y que no puedes hacer gran cosa on demand. Simplemente si estás de suerte y hay cosas en memoria interesante pues las pillas, pero si no, es inútil.

1
YokeseS
YokeseS #69 Abr '14

entonces hoy en dia no hay nada 100% seguro? al final internet solo va a servir para ver porno y trollear.

1 respuesta
gAdrev
gAdrev #70 Abr '14

#66 Sí pero hay muchos matices. La vulnerabilidad no revela automáticamente la comunicación, sino que el alcance del fallo depende de varios factores, que cambian caso a caso. Un sistema podría haber sido vulnerable y no haber revelado información sensible incluso tras ser atacado, mientras que otro podría haber expuesto las pkeys...

Eso no quita que sea bastante grave conceptualmente, pero quería aclararlo porque no es un "con el culo al aire 100% efectivo". Si os interesa el por qué buscad algunas notas técnicas sobre el bug.

1
S
Sarwaz #71 Abr '14

En realidad esto en el peor de los caso es como si todas las paginas del mundo fueran como media-vida (sin ssl).

1
Dieter
Dieter #72 Abr '14 Penitente

#69 la muerte.

1 respuesta
T-1000
T-1000 #73 Abr '14 en la nevera

#72 qué gran verdad xD

s0ny
s0ny #74 Abr '14 :psyduck:

Soy una persona curiosa, pero ignorante al respecto, así que pregunto: ¿podéis dejar de decir que no somos conscientes del daño hecho, y dar ejemplos concretos de lo que podría pasar?

Está muy bien el sectarismo de "la verdad os hará libres", pero coño, yo quiero información relevante, no os calléis quienes de verdad sepáis de esto, malditas xD

Por ejemplo, se dice según leo aquí que las transacciones bancarias, compras y demás, quedan a la vista de quien haya querido acceder a ellas... ¿pero qué podría pasar con ello que no hayan hecho ya a estas alturas, con respecto a esas compras o transacciones del pasado?

Y que conste que no lo digo en plan escéptico, sólo quiero saber a qué enfrentarme.

2 1 respuesta
Videal
Videal #75 Abr '14

#74
Por ejemplo han podido ver un montón de users/passwords de usuarios de Facebook, Yahoo, ... y miles de paginas . Con eso puedes leer/robar mensajes, correos, bitcoins, .... Eso a nivel de usuario, pero imaginate eso en una empresa, banco,... y todo lo que implica...

También, aunque mucho menos probable, han podido encontrar claves privadas con lo que serían capaces de desencriptar todo el tráfico que teóricamente estaba cifrado hasta ahora de esa web.

El problema no son solo estos 3 días, el problema es que lleva 2 años ahí y que lo han podido estar usando tranquilamente y no te habrás enterado.

En el tema de los bancos podrían conocer tu situación económica,.... transferencias y demás es más complicado porque creo que la mayoría de los bancos tiene una segunda autentificación.

También podrías conseguir acceso a VPNs con todo lo que ello podía implicar. Vamos que si lo sabías desde un principio. Has tenido tiempo para entrar en casi cualquier lado... y de manera muy sencilla...

#76
Si si, si es que hay mil posibilidades...

Para el usuario normal no lo veo tan crítico, más que nada porque seguro que sino era por ese bug sería por otro, solo que de esta manera era sumamente fácil. Pero para empresas que si valoraban su seguridad y almacenan cosas imporantes pff... que miedo...

1 1 respuesta
D
DiSKuN #76 Abr '14

#75 Es mas, si consigues las claves privadas pueden hacerse pasar por la web de dichos certificados y tu sin enterarte

PuNTo
PuNTo #77 Abr '14

Pero si salvo que tengais una cantidad muy elevada de dinero en la cuenta, el interés en robaros algo es el similar a robarle una jeringuilla a un yonki.

Es para preocuparse, si, es para alarmarse, no.

pd: ¿ Wikileaks tendría acceso a esta información ?

S
Sarwaz #78 Abr '14

Despues de probarlo tengo que retractarme, es la ostia xD

B
[Borrado] #79 Abr '14

Allá va una explicación para todos de cómo funciona el tema:

spoiler
5
Nucklear
Nucklear #80 Abr '14 BugHunter

#63 No funciona así, la librería si que tiene esa funcionalidad, el problema es que la request consta de dos partes, el payload y el tamaño de éste.

El fallo está en que el tamaño del payload no está validado contra el tamaño que indica la request por lo que un atacante puede enviar una request de 0bytes y decir que tiene un tamaño de 65535Bytes (El máximo permitido). Una vez parseada la request por la librería ésta va a la memoria y devuelve datos por el tamaño indicado que son los 65535bytes por lo que al no haber datos envia al atacante las regiones de memoria anteriores a donde almacenó el payload vacío que está en texto plano.

El modo de ataque sería dejar el exploit corriendo y capturando de 64Kb en 64Kb, ¿Cual es el problema? Que si durante el proceso se realiza un handshake el atacante puede capturar la pkey, junto con cualquier otra información que pase por la región de memoria comprometida.

Por lo tanto no hay condiciones especiales dependiendo del entorno, solamente es cuestión de tiempo para que el certificado se vea comprometido, de ahí que se tenga que dar por supuesto que ha sido comprometido ya que el ataque no deja ninguna evidencia.

Teniendo en cuenta que el 66% de las webs que usan https utilizan una version vulnerable de OpenSSL (esto sin contar servidores de correo, XMPP, SSL VPNs, etc) el impacto de la vulnerabilidad es enorme y si que estamos hablando de una de las mayores que internet ha sufrido.

1
McDyron
McDyron #81 Abr '14

#1 Diste en el clavo

NSA Used Heartbleed to Spy on People for Years
http://gizmodo.com/nsa-used-heartbleed-to-spy-on-people-for-years-1562307207?utm_campaign=socialflow_gizmodo_facebook&utm_source=gizmodo_facebook&utm_medium=socialflow

1
nomechordas
nomechordas #82 Abr '14

Entonces lo recomendable es cambiar ya las pass porque se supone que ya está arreglado o hay que esperar a que lo arreglen del todo?

DEVE
DEVE #83 Abr '14

¿¿Puedo pedir daños y prejuicios a mi banco por ejemplo aunque no me hayan robado, por el estress al que he estado sometido al conocer la noticia??

Thx.comunidad.

1
aLeoLo
aLeoLo #84 Abr '14 :psyduck:

ante el vicio de pedir, la virtud de no dar.

Kaoticbcn
Kaoticbcn #85 Abr '14 Penitente

xD Vaya paranoia junta hay por aquí xDD

Para los informáticos que dicen "Pero es que no te das cuenta de la gravedad bla bla bla", ahora ha salido a la luz este bug y seguramente habrán otros mucho más importantes y tampoco es para ir a tirarse de un puente. Vivid pensando que ya hay gente que tiene todos vuestros datos y que puede hacer lo que quieran contigo, así cuando salga algo de esto lo asumiréis como es debido y no creareis una estúpida voz de alarma.

Para la gente que no entiende hasta donde tal gravedad, como ya he dicho antes, no hay nada seguro en internet, si no tienes ninguna información sensible ni eres el presidente del gobierno, no tienes de que preocuparte, y aunque los fueses, las probabilidades de que alguien haya podido obtener algo de ti sería como buscar tu contraseña en la biblioteca más grande del mundo. Y no solo tendrán la tuya, sino la de todo el mundo.

Aunque se hubiesen pasado los 2 años recopilando toda la información con este método, la cantidad de mierda (info sin valor) es enorme, para encontrar una contraseña por ejemplo (en caso de que se mostrase así a simple vista) sería como encontrar una aguja en un pajar.

Así que sí, para las empresas es un drama, pero para el usuario común pufff podemos dormir tranquilos por las noches.

1 1 respuesta
Nucklear
Nucklear #86 Abr '14 BugHunter

#85 Que tonteria tan grande, buscar un patron en 1TB de informacion es cosa de minutos. Si no sabes de que hablas no desinformes a la gente.

3
lafundo
lafundo #87 Abr '14

¿Esto es eso que dicen " tu seguridad y la de tu sistema se puede ver comprometida por un ataque de terceros"?

Pues ahora mismo subo al tercero de mi edificio y les reviento la cara. :D

1
Colacado
Colacado #88 Abr '14

Para mi navegar por Internet es como conducir, hay que ir con todo el cuidado posible, pero la posibilidad de que te pasé algo (robo de datos, o matarte) siempre está ahí, y todo usuario debería de saberlo.

danao
danao #89 Abr '14

Que no os extrañe que todos los robos de datos vengan por aqui, la NSA lo ha estado explotando dos años.

Es una vulnerabilidad muy crítica, tengo amigos que han conseguido meterse en PC ajenos... alguno con una cartera de 50 bitcoins...

lafundo
lafundo #90 Abr '14

Y aqui en esta noticia una de las razones por las que no me gusta comprar absolutamente nada por internet. Ni hacer banka online, que me jode bastante. Y por supuesto no soy usuario de tarjetas de credito en la calle para nada.

Se que mis datos estan de todas formas por ahi pululando, pero no sera por descuido mio( las psosibilidades) que tenga un problema gordo. Reduciendo posibiliades

Nada es seguro hoy en dia.

Usuarios habituales

Tags