Portada
Hace 10 años | Por gallir a techrights.org
Publicado hace 10 años por gallir a techrights.org
El antiguo director de seguridad de Microsoft, detrás del heartbleed.com

El antiguo director de seguridad de Microsoft, detrás del heartbleed.com

 techrights.org

El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó http://heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL...

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 7.5k 103

Comentarios

D

#2 se lo puedes perdonar, es novato en esto de menéame

V 67
K 637
roybatty

#3 nunca he entendido muy bien el emoticono de la lengua, ¿qué significa?

V 0
K 9
D

#5 que la chupo a cambio de karma

V 43
K 377
llorencs

#5 Que está haciendo coña. Es una ironía.

V 3
K 38
roybatty
editado

#18, ¿es el nuevo ? creía que los valientes no gastaban de eso.

V 0
K 9
llorencs
editado

#19 Algo así. Pero da otro sentido. Digamos que está haciendo un chiste. No tiene porque ser una ironía.

V 2
K 29
D

#2 #5 Sheldom, eres tu?

V 3
K 37
gallir
autor

Vía

, relacionados: http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html


Parece toda una campaña orquestada para desacreditar a openssl, y muchos periodistas y bloggers cayeron en la trampa por el sensacionalismo (como el de "Dos terceras partes de Internet en peligro" y cosas similares).

V 28
K 297
roybatty

#1 si la noticia está en inglés deberías añadirlo en el titular, es una costumbre más que una norma, yo suelo ponerlo entre corchestes [EN] aunque la opción más común es (EN), nunca pongas (ING) que saltan los chistes.

V 23
K 224
kaoD

#1 leo tus enlaces y me parece bastante grave... Veo lógico el revuelo. ¿Qué es lo que te hace llamarla sensacionalista?

V 1
K 15
gallir
autor

#27








El bug es grave, pero se dijeron muchas burradas en los medios.

V 9
K 108
santicasas
editado

#28 sinceramente la vulnerabilidad es muy grave.

Que los medios digan tonterias, no es nuevo, y que "en rio revuelto...", tampoco.

Pero por favor no minimicemos la vulnerabilidad.

V 7
K 66
D

#28 #29 Cualquiera que se halla puesto a trastear con la vulneravilidad y los distintos exploits que pueden encontrarse, se da cuenta que hay mucho "sensacionalismo" en este bug, dumpear la memoria del servidor y conseguir la "first key" es casi un acto de "fe", lo unico que se consigue es capturar basura de ejecutaciones temporales y alguna que otra sesion que no sirve de nada porque, o estan imcompletas, o estan caducadas.

V 11
K 92
akas84

#29 cómo dice #31, no se trata de minimizar la vulnerabilidad, lo cual es discutible, sino de la campaña que se ha montado contra la seguridad de los servers en internet. Hoy leía el titular: Millones de contraseñas de internet al descubierto (portada escrita de elpais.es)...

V 6
K 64
klam
editado

#1 Bruce Schneier califica en bug de "catastrófico" y "en la escala de 1 a 10 es un 11" (https://www.schneier.com/blog/archives/2014/04/heartbleed.html). Que los periódicos equivoquen los números (66% de servidores Apache != 66% de servidores vulnerables) es la mala prensa de siempre. Pero la realidad de la vulnerabilidad es que un atacante puede leer bloques arbitrarios de la memoria del servidor atacado, sin dejar rastro, en cerca de medio millón de servidores afectados. Es un desastre, no una campaña de desprestigio.

#32 Y es verdad. Lo más sensato es asumir que la vulnerabilidad fue explotada, y que todas las contraseñas de Yahoo y Twitter (entre otros sitios grandes), fueron vulneradas.

V 7
K 68
gallir
autor
editado

#34 Claro que es catastrófico el bug, pero no es cierto que "dos tercios de los servidores en Internet esten afectados" como salió en algunos medios, por ejemplo http://www.elmundo.es/tecnologia/2014/04/09/53450b9b268e3e9f128b456e.html

Un gravísimo agujero de seguridad compromete a las dos terceras partes de Internet

Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs

También contraseñas y números de tarjeta de crédito, correo y mensajería en línea


De lo que la propia autora se está retractando:




@pabloromero el título de mi artículo "Un gravísimo agujero de seguridad compromete a las dos terceras partes de Internet" es incierto

@pabloromero si es posible, habría que cambiar el título a, por ej: "Un grave fallo amenaza las comunicaciones seguras en Internet"



Y lo que hizo hearbleed (que es lo que se critica en el artículo enlazado, no se dice que no sea grave) es de lo peor, muy bien representado por este tuit:




Es decir, el bug fue una mierda, una catástrofe, pero:

1. En heartbleed se monta una campaña con datos falsos (lo de los 2/3 de servidores de internet afectados) sin dar tiempo siquiera a que las distros actualicen. No tiene justificación, era obviamente una campaña de propaganda.

2. La extensión heartbeat tiene dos años (es unas pocas horas antes del 1 de enero de 2012), y no está en todas las distribuciones ni en todos los OpenSSL dando servicios, datos que se obviaron completamente al dar la información.

3. En los medios se replicaron esas cifras falsas sin analizar antes, o poner en duda que estén afectados como 600 millones de servidores (cuando la realidad es que las estimaciones actuales están en los 600.000



Insisto, heartbeat ha hecho una putada, a posta y jodiendo a todas las distros y sysadmins, pero les salió bien la jugada... hasta se nos acusa de minimizar la gravedad del bug porque criticamos la campaña y desinformación, especialmente por 1) y 2).

V 16
K 154
Avantasia

#57 Pero ¿qué dices?

Todas las vulnerabilidades se encuentran "a posta", no se descubren solas, todas tienen a un equipo detrás que busca la vulnerabilidad, lo comunica (o no) y la explota, y mejor que sea así y lo comuniquen, porque la alternativa es que hubiera un grupo más o menos reducido de personas explotando esto durante años y ni dios se daría cuenta jamás.

Igual ahora esta vulnerabilidad por el simple hecho de que la ha descubierto un tipo que tenía relación con Microsoft en algún momento es una campaña de desprestigio, pero los millones de bugs que le encuentran a todos los sistemas todos los días, incluido a Windows, no son campañas, los hacen equipos de monjitas de la caridad por amor al arte.

Por cierto el tipo era el director de seguridad, vaya sorpresa, un tío que se dedica a la seguridad encontrando fallos de seguridad, quien se lo iba a esperar.

V 2
K 9
gallir
autor

#58 No hables cagadas, en serio, el bug lo descubrió un ingeniero de Google, que lo notificó a OpenSSL. Los de la web heartbeat no descubrieron nada.

Y aunque lo hayan hecho, no es la forma ética (ni acostumbrada) de hacerlo. Pero sí que registraron el dominio y hasta hicieron un logo para publicarlo.

V 12
K 125
Avantasia

#60 Siempre tan educado tu ya ni te contesto

#62 Ok, pues se subieron al carro y le dieron bombo, ¿esto hace menos grave el bug? ¿dónde esta el sensacionalismo?

Repito, yo antes de parchear mis servidores, estuve jugando un poco con algún POC, etc, y saqué credenciales válidas, cookies, etc, igual que yo, miles de personas lo han podido hacer en servidores importantes de verdad (vease yahoo) que guardan credenciales de millones de personas, y lo han podido hacer ni se sabe cuanto tiempo.

Aunque solo afectara a yahoo, y no a los % de servers de los que se habla, decir que es una de las cagadas de la década seguiría sin ser sensacionalista, porque lo es, porque se ha podido filtrar muchísima información en muchísimos servidores.

Un ejemplo: cuando robaron la BD de Adobe, se lió una pardísima, con razón, porque se pudieron sacar las credenciales de millones de personas, que además la mayoría usarán las mismas en otros servicios, y así..

Con este bug tenemos lo mismo: se pueden sacar credenciales de personas (como mínimo) pero además no hay datos, ni los habrá, sobre cómo de grandes han sido las fugas de información, pero es un hecho que han sucedido y en servidores muy importantes.

En fin, a mi lo que me parece sensacionalista es sacar una portada como esta, diciendo que todo es una campaña orquestada para desprestigiar a OpenSSL, insinuando que si no hubieran sacado heartbleed.com este error hubiera pasado desapercibido entre los otros CVE, cuando es evidente que no es asó.

V 3
K 15
gallir
autor

#71

> Siempre tan educado tu ya ni te contesto

Decir que "hablas cagadas", cuando te demuestro que lo haces y dices cosas falsas, no lo veo de mala educación. A menos que te moleste la palabra "cagadas", entonces la cambio por "tonterías". Pero te repito: respondiste con tanta autoridad sin siquiera documentarte.

Es la arrogancia de la ignorancia, que se ofende luego por una palabra. Normal, suelen tener los puños de hierro y la mandíbula de cristal.

V 3
K 26
Avantasia

#73 Es que soy parte de la campaña orquestada esta para desprestigiar proyectos de software libre.

Por otra parte, la arrogancia y la ignorancia es lo que dices en #75

"sin haberlo analizado, pero es conocimiento básico de cómo funciona la gestión de memoria en los sistemas operativos modernos)"

Que perfección, que sabiduría, pero incluso expertos en el tema erraron en sus precipitados análisis precisamente por hacer suposiciones de cómo funcionan las cosas sin haberlo mirado y probado, el blog que enlazas con la rectificación sobre las claves privadas es un ejemplo clarísimo de ello.

No es tan difícil, te bajas los PoC, código, lo estudias, y luego dices si es exagerado o no, y los datos que se filtran y los que no, yo ya lo hice y en los comentarios que puse en las noticias me basé en eso para corroborar la gravedad de la historia, y no en si el que hizo una web puso un logo o no o no se que otras conspiranoias.

V 0
K 6
m
editado

#77 al contrario, todo esto pinta de que es un campaña precisamente para sacar al aire la mierda.

En este articulo se explica con detalle hasta que punto es peligroso:
http://www.elladodelmal.com/2014/04/heartbleed-y-el-caos-de-seguridad-en.html

aunque no aborda el tema de los móviles

Por otro lado Google sabia del fallo desde Diciembre de 2013, por lo que la teoría de gallir sobre la rapidez de una campaña de desprestigio del software libre no tiene ningun sentido.

Ademas el razonamiento es ridículo, porque la NSA controla en realidad las distribuciones Linux y las principales distros están todas trajinadas:

http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/

a quien menos le interesaría algo así es precisamente a la NSA que también controla la seguridad de Microsoft, y es absurdo pensar que Microsoft haría eso por un propósito comercial. Esto es mas importante y puede mover mucha pasta.

Debe quedar mucho agujereado todavía, y ni a Microsoft ni a la NSA le interesaría cambiar esa situación que ha estado bajo su control durante tanto tiempo.

V 1
K 16
D

#78 "Ademas el razonamiento es ridículo, porque la NSA controla en realidad las distribuciones Linux y las principales distros están todas trajinadas: "

Pues a usar OpenBSD y a vivir feliz.

V 0
K 11
m
editado

#86 ¿ein? el OpenBSD ya se vió que fue trajinado por el FBI y con toda seguridad la NSA:

http://www.trollaxor.com/2013/07/why-i-abandoned-openbsd-and-why-you.html
http://www.linuxjournal.com/content/allegations-openbsd-backdoors-may-be-true


no existe sistema público que no esté infiltrado.

V 0
K 7
D

#89 "trollaxor". Sí, buenas fuentes.

NO fué trajinado por el FBI.

V 0
K 11
m
editado

#91 ah, la fuente, la fuente...
Venga hombre... no me creo que en el 2014 alguien piense que existe algun sistema operativo virginal lol

Mas fuentes:

http://cryptome.org/2012/01/0032.htm
http://arstechnica.com/information-technology/2010/12/fbi-accused-of-planting-backdoor-in-openbsd-ipsec-stack/
http://www.osnews.com/story/24142/More_Details_Emerge_Regarding_OpenBSD_FBI_Backdoors/
http://www.theregister.co.uk/2010/12/15/openbsd_backdoor_claim/
http://www.cnet.com/news/report-of-fbi-back-door-roils-openbsd-community/


... y por no mencionar que a nivel de hardware y fabricantes también está todo infiltrado:

http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

joer, si hasta tienen montado un servicio por catálogo para los empleados. Se entiende que es jodida la sensación de que la seguridad del software libre es también una tomadura de pelo, pero contra antes haya esa consciencia mucho mejor. Eso si es que tiene algún arreglo, claro.

Porque todo puede ser también un gran teatro para que la gente acepte la pérdida total de privacidad antes de instaurar la socialización del control de un gran hermano.

Yo no veo que con estos escándalos se desarrollen nuevos cifrados, protocolos de seguridad en la fabricación, etc... ¿Tu si?. ¿Donde esta esa comunidad desarrollando nuevas cosas?. Esa comunidad está totalmente infiltrada como se ve en todos esos episodios. Universidades, individuos... todo.
http://www.cnet.com/news/report-of-fbi-back-door-roils-openbsd-community/


... y por no mencionar que a nivel de hardware y fabricantes también está todo infiltrado:

http://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

V 0
K 7
D
editado

#93 Arstécnica y demás... amarillista.


Yo no veo que con estos escándalos se desarrollen nuevos cifrados, protocolos de seguridad en la fabricación, etc... ¿Tu si?. ¿Donde esta esa comunidad desarrollando nuevas cosas?. Esa comunidad está totalmente infiltrada como se ve en todos esos episodios. Universidades, individuos... todo. "

Y yo estoy suscrito a las listas de correo de OpenBSD y sé lo que se cuece, y Theo dejó BIEN CLARO que no hay backdoor alguno.

De hecho los pasos de Release a Stable 5.4 -> 5.4.1 pasan por compilar el codigo fuente sí o sí (o bajar updates de M:TIER, compañía que da soporte a OpenBSD) .

V 0
K 11
D
editado

#93 "joer, si hasta tienen montado un servicio por catálogo para los empleados. Se entiende que es jodida la sensación de que la seguridad del software libre es también una tomadura de pelo, pero contra antes haya esa consciencia mucho mejor. Eso si es que tiene algún arreglo, claro. "

Tu instálate OpenBSD, suscríbete a las listas de correo, y si tienes que mirar el código fuente, lo miras, pero te dejas de gaitas, que al menos hasta el creador del BSD ha especificado como y donde está el fallo de OpenSSL.

De hecho tengo un dual boot, y los upgrades a -stable los hago con "cvsupgrade" y "makeworld", dos script que cogen los archivos via CVS y compilan.

Es práctico, simple, tienes Firefox y XFCE con Mesa 7.4 y en abril tendrás Mesa 9.2. Lo unico que hecho en falta es KVM.

V 0
K 11
D

#78 Por cierto, Assange sabe bastante, fué creador del paquete Surfraw para GNU/Linux.

V 0
K 11
capitan__nemo

De la pagina http://heartbleed.com/
Is there a bright side to all this?
For those service providers who are affected this is a good opportunity to upgrade security strength of the secret keys used. A lot of software gets updates which otherwise would have not been urgent. Although this is painful for the security community, we can rest assured that infrastructure of the cyber criminals and their secrets have been exposed as well.
lol lol

Y ahora hablamos en si esta vulnerabilidad fue introducida o no a posta.
¿analizando el codigo es un error factible?

La NSA pagó 10 millones a RSA por distribuir un cifrado inseguro
La NSA pagó 10 millones a RSA por distribuir un cifrado inseguro

Hace 10 años | Por Vlemix a tuexperto.com
Publicado hace 10 años por Vlemix a tuexperto.com

La NSA pagó 10 millones a RSA por distribuir un ci...

 tuexperto.com

Un catálogo interno revela que la NSA tiene "backdoors" en multitud de dispositivos [EN]
Un catálogo interno revela que la NSA tiene "backdoors" en multitud de dispositivos [EN]
Hace 10 años | Por periwinkle a spiegel.de
Publicado hace 10 años por periwinkle a spiegel.de

Un catálogo interno revela que la NSA tiene "...

 spiegel.de

La cadena de custodia: NSA y software libre
La cadena de custodia: NSA y software libre
Hace 10 años | Por --370603-- a phenobarbital.wordpress.com
Publicado hace 10 años por --370603-- a phenobarbital.wordpress.com

La cadena de custodia: NSA y software libre

 phenobarbital.wordpress.com

Linux pudo haber incluido en su generador de números aleatorios una puerta trasera de la NSA [ENG]
Linux pudo haber incluido en su generador de números aleatorios una puerta trasera de la NSA [ENG]
Hace 10 años | Por Jakeukalane a comments.gmane.org
Publicado hace 10 años por Jakeukalane a comments.gmane.org

Linux pudo haber incluido en su generador de númer...

 comments.gmane.org

V 1
K 22
S

#60 sin embargo parece que heartbleed.com fue registrado días antes del anuncio de OpenSSL, y según ellos el plan era avisar a los distribuidores de forma responsable pero la información salió a la luz antes de lo previsto:

http://seclists.org/oss-sec/2014/q2/34

http://seclists.org/oss-sec/2014/q2/49

V 0
K 6
S

#57 Admito que el enunciado puede dar lugar a confusión para alguien que no entienda del tema, pero de ahí a decir que ponen datos falsos a propósito va un trecho. En la respuesta a "How widespread is this?" simplemente listan el tipo de software que se puede ver afectado, incluso dicen en el propio párrafo que la elección de versiones más antiguas hace que muchos sitios no sean vulnerables. En el párrafo siguiente listan claramente las versiones de OpenSSL y distribuciones que no están afectadas.

Sobre lo de que lo publicaron a saco sin avisar a nadie ya puse los links en #80.

Después evidentemente muchos medios publicaron la información sin analizar bien los datos, como suele pasar siempre que hay noticias de ciencia y tecnología, pero decir que todo esto es una campaña orquestada por un tío de Microsoft lanzada a propósito cuando caduca el soporte de Windows XP huele a teoría de conspiración que apesta

V 1
K 17
gallir
autor

#90

> Admito que el enunciado puede dar lugar a confusión para alguien que no entienda del tema, pero de ahí a decir que ponen datos falsos a propósito va un trecho. En la respuesta a "How widespread is this?" simplemente listan el tipo de software que se puede ver afectado

Lo que es absurdo, es como encontrar una mutación de virus de la gripe mortal y decir que pueden estar afectados 7.000 millones de personas. Es algo que no aceptaríamos en medicina, no sé por qué nos parece normal en informática/seguridad.

Quizás una pista: demasiados cheerleaders en el mundillo.

V 0
K 15
Avantasia

#94 No, lo que es absurdo es que se encuentre una mutación de virus de la gripe mortal y a pesar de que muera gente, insistir en lo beneficioso que es eso para las farmaceuticas, y que hay un tipo de un laboratorio implicado en el descubrimiento, y etc.. oh wait, es que esto también se ha hecho, ahora veo que hay versión informática de la monja de las vacunas

V 0
K 6
gallir
autor

#95 ¿y quién ha dicho eso? Porque si sugieres que lo he dicho o defendido yo, avisa, que ya mismo te ignoro para no seguir leyendo estupideces de semejante calibre.

V 0
K 15
Avantasia

#96 Pues en #1 sin ir más lejos

"Parece toda una campaña orquestada para desacreditar a openssl, y muchos periodistas y bloggers cayeron en la trampa por el sensacionalismo "

o en #0

"El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL"

o en #57

"1. En heartbleed se monta una campaña con datos falsos (lo de los 2/3 de servidores de internet afectados) sin dar tiempo siquiera a que las distros actualicen. No tiene justificación, era obviamente una campaña de propaganda."

Es decir, defiendes que es una campaña orquestada, que es un tema tratado con sensacionalismo, que se han dado datos falsos a propósito como una campaña de propaganda... y no te recuerda a nada a la gente que decía que la gripe A era una campaña de las farmacéuticas, que se filtraban datos falsos, etc.. pues para mi es lo mismo, el ejemplo lo has puesto tu, pero viene al pelo.

Además, ¿conoces el dicho de mirar el dedo en vez del cielo? porque lo de los últimos días, ese empecinamiento en querer fijarse en estas chorradas de que si la cifra es el x% o el y%, o que si está detrás fulanito o menganito, en vez de analizar la gravedad y el alcance real del asunto es de traca. Por ejemplo la escena en el twitter vs Merce me parece de traca al hilo de eso.

¿Sabes tu el alcance el bug? llevas días diciendo que los porcentajes son erróneos, pero yo no he visto un solo dato fiable, se basa todo en estimaciones y seguramente las tuyas tampoco sean muy fiables. Alguien ha añadido el impacto en los clientes? ayer probé versiones vulnerables de wget y links, y como esos habrá cientos de paquetes de clientes, apps, appliances, etc que son vulnerables, ¿alguien ha tenido en cuenta eso en las estimaciones?, si yo me pongo en plan crítico con unos datos, lo mínimo que puedo hacer es molestarme en calcular yo unos datos correctos, y no "esto está mal, porque yo lo valgo!"

Yo lo siento, pero lo único sensacionalista que he visto es lo tuyo, me parece una forma horrible de querer llamar la atención, aprovechar el tirón del bug para, aprovechando la mala interpretación de unas cifras y temas que no tienen nada que ver con el fondo del asunto, sacar chicha de donde no la hay.

V 0
K 6
gallir
autor

#97 O sea, dices una cosa, que no confirmas, y sigues con lo mismo, como si yo hubiese dicho que el bug no es grave (y cuando no sabías ni quién lo descubrió), y ahora afirmas que defiendo a OpenSSL... toma:



Y lo que dice en ese comentario que recomiendo leer:

OpenSSL is not developed by a responsible team.

Y ahora sí, al ignore.

V 1
K 21
Avantasia

#98 En fin, vaya forma de razonar lol que tienes ¿8 añitos?, afortunadamente lo que uno dice queda escrito, y solo tengo que citarte para ver lo que ha dicho cada uno.
Saludos

V 2
K -9
S

#94 ahí lo que dice es que OpenSSL es el software que usan Apache y nginx, y después da datos de la popularidad de esos servidores. En ningún momento dice que el 66% de los servidores web sean vulnerables a ese bug, esa es tu interpretación.

Además dice claramente qué versiones están afectadas y cuáles no, incluyendo las fechas.

Si yo digo que se han encontrado restos de carne de caballo en ciertos productos de Findus, que Findus es una marca popular porque la distribuye Tesco, que es la cadena mayoritaria en UK con un 30% de la cuota de mercado, tú no concluyes que el 30% de la carne que se vende en UK tiene restos de caballo.

V 0
K 6
Avantasia

#100 No solo eso, sino que no tiene en cuenta los servers no-apache y no-nginx, pero que son afectados igual
Ejemplo proxy inverso, explicado por ejemplo :
http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
(te contesto a ti solo porque como al que le interesaría más saber esto me ha ignorado.. sigh..)

V 0
K 6
qrqwrqfasf

El primero que encontró esta vulnerabilidad fue uno de Google, y se le asignó un CVE. Despues estos de Codenomicon se subieron al carro, abrieron otro CVE, e hicieron hasta un dominio, pero realmente el mérito es del empleado de Google.

#58 Yo no estoy de acuerdo con que todas las vulnerabilidades se encuentran "a posta", en muchos casos han aparecido sin buscarlas.

V 4
K 47
D

#57 Yo lo estoy flipando con todo esto. En mi trabajo, los jefazos (que no tienen ni idea) han entrado en pánico, y es el tema monotemático de conversación, por mucho que les diga que los servidores están debidamente parcheados y securizados.

El daño ya está hecho, solo hay que ver algunos comentarios apocalípticos de esta noticia. (Que por cierto me gustaría saber a que se dedican)

V 3
K 44
delawen

#55 ¿Y todos esos usan Heartbeat? Lo dudo (#57)

V 0
K 9
M

#64 Para corregir el fallo, primero debes sufrirlo. De yahoo ya puse cómo sacaron contraseñas en claro.

V 0
K 6
delawen

#65 ??

¿Pero estamos hablando de este bug o de otros posibles fallos de seguridad?

V 0
K 9
M
editado

#66 ¿a qué te refieres? ¿a lo de las contraseñas de yahoo? sí, fue por culpa de heartbleed

V 1
K 15
delawen
editado

#68 ¿Pero eso que tiene que ver con #64?

Hay un fallo de seguridad, sí. Ya está corregido. Antes de corregirlo, a más de uno le han pillado en bragas, vale.

¿Qué tiene que ver lo que pongo en #64 con que dudo que todos esos dispositivos tengan un agujero de seguridad? Por no contar con que ya estarán desplegándose los parches en móviles también... De hecho, creo que por ejemplo iOs no se ha visto afectado (todos los iCosas). De Android no lo sé, supongo que dependerá de la versión.

V 0
K 9
M
editado

#69 En #64 dices "todos esos" sin aclarar si te refieres a los móviles o a los servidores de twitter, yahoo... entonces creí que hablabas de los servidores.

En cuanto a los móviles -> #56

P.D: están sacando actualizaciones, sí, pero están o estuvieron afectados y lleva ahí el fallo dos años en el que pudo ser explotado. También, sacan actualizaciones ¿cuántos van a actualizar? ¿cuánto tiempo tardará? no es tan fácil como sacar actualizaciones y todo resuelto.

V 1
K 15
m

#63
http://security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely

#57 muy cutre presionar a esa periodista que además es histórica y con ayuda de los fans mentecatos. Ella no es una técnico y sólo ha escrito cifras en línea con lo que circulaba hasta la fecha. Y no ha escrito ninguna barbaridad.

Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs
También contraseñas y números de tarjeta de crédito, correo y mensajería en línea

...y donde está ese gran error si se pueden sacar de memoria.


De conspiranoias con OpenSSL seguramente, pero es mejor la de los masones seculares de Rockefeller en el Meneame, un agujero identificado desde hace años para ralentizar los procesos del sistema.

V 2
K 7
gallir
autor

#74 Nadie la "presionó", y todo el que escribe en público debe estar sujeta a la crítica pública (a la que se le explicó y contestó con "troll" y "vago". Punto, no hay nada mas.

Sobre la noticia, el titular es erróneo, y lo de la memoria ya fue explicado y matizado, por ejemplo http://blog.erratasec.com/2014/04/why-heartbleed-doesnt-leak-private-key.html

Private keys are still not so likely to be exposed, but still much more likely than my original analysis suggested.

Note: By the way, the major thing that is allocated/freed is the decrypted message buffer -- meaning your HTTP traffic on top of SSL. That means the major thing that leaks is HTTP headers -- namely session cookies and login passwords. Thus, while your SSL certificates are likely safe, your passwords aren't.


(y yo lo había dicho antes,

, sin haberlo analizado, pero es conocimiento básico de cómo funciona la gestión de memoria en los sistemas operativos modernos).

Resumen, todo el mundo se apunta rápido al carro de los números y afirmaciones exageradas, pero muy pocos saben el fondo, o se documentan.

V 2
K 32
gallir
autor

#82 -> #57 o #75


Hasta http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/ dio esos números erróneos (Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping) y súper inflados, y para esto no hay excusa, por más grave que sea el bug.

V 2
K 31
D
editado

#83 Arstecnica es bastante amerillenta. Te enteras mejor por las listas de correo de OpenBSD (tienen la seguridad codo con codo, como ya sabrás) y Slashdot.

Aquí hay bastante información:

http://thread.gmane.org/gmane.os.openbsd.misc/211952/focus=211963

V 3
K 47
Avantasia

Uy si, esto es supersensacionalista, un bug que permite a cualquiera leer memoria de un server remotamente y sin dejar ningún tipo de rastro (aunque esto último es un poco discutible, porque ayer estuve jugando con un honeypot que imita el bug y parece bastante efectivo registrando los atacantes y discriminando los que no lo son)

Total, super-sensacionalista, apenas se pueden ver cookies, sesiones, datos del server, datos de otros vhosts en el mismo server, credenciales en claro, etc..

#31 Si solo pudieras hacerlo una vez ok, pero puedes repetir tantas veces como quieras el bug, sin ningún límite en cuanto a temporización o intentos, después de unas horas es prácticamente imposible que NO hayas sacado ningún dato que comprometa seriamente el server o las apps que hay corriendo en el.

V 5
K 49
M

#4 ¿Dónde está el sensacionalismo? o lo que es lo mismo ¿qué de lo que dicen no es cierto? ¿quizás el porcentaje de los afectados?

#31 A yahoo le capturaron usuarios y contraseñas en texto plano: http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/ (al final del artículo)
http://www.genbeta.com/seguridad/heartbleed-otro-fallo-extremadamente-grave-en-una-libreria-ssl (casi al final)

V 2
K 24
m

#54 no le hagais caso a este tipo que no sabe lo que dice. Es un agujero muy grave.

Afecta tanto de servidor a cliente como de cliente a servidor. Todas las versiones de OpenSSL inferiores a la 1.0.1g están afectadas.

Eso también incluye a los móviles tanto Android como IOS. Aunque el sistema no lleve OpenSSL (como IOS) puede haber sido instalada por terceras aplicaciones.

El caso de Android 4.1.1 con Chrome es casi seguro. El 4.2.2 no, pero siempre depende de las aplicaciones. ROMS populares de Android como Cyanogen están afectadas. Google ya ha lanzado actualizaciones de Android.
Hay que actualizar móviles, servidores, tablets, etc..

Pueden ser miles de millones de instalaciones. Y si esto no es gordo entonces que corra el pegamento.

V 3
K 16
D

#56 Las versiones afectadas son de la 1.0.1 a la 1.0.1f. La oldstable 0.9.8 no está afectada.

¿Podrías poner fuentes fiables de lo de Android?¿En que te basas para afirmar eso de que los clientes también son vulnerables?

V 0
K 9
D
editado

Considero que el bug es grave, puesto que en la práctica te podrías descargar teras de informacion que circule por la memoria del servidor durante años, sin dejar ningun rastro...

Pero más grave sería si permitiera ejecutar un shell y tomar el control total del servidor. Esto es mas bien una red de pesca que echas y te pones a esperar lo que pesque ,que nunca vas a saber muy bien qué ni cuando.Todo pasa por la memoria, es cierto, pero muchos servidores donde hay realmente información importante no tienen demasiado uso y ponerse a esperar que circulen delante de tus ojos cosas jugosasa es un poco como jugar al bingo y perder el tiempo.

lo que puedes ver de cada vez es solo un trozo de memoria de 64kb de mierda, a voleo...yo casi estoy con lo que dice #31 sin tener mas conocimiento en profundidad del tema

V 4
K 27
D
editado

#61 Efectivamente, el bug no facilita una escalada de privilegios.

V 1
K 18
m
editado

#1 y que pasa con los móviles y las tablets, figurín. Hay 7.300 millones de móviles. El 55% en el 2013 eran smartphones. La extensión se usa para mantener el keep-alive, hacer push y evitar la renegociación. Cientos de millones de Android e IOS están afectados directamente o por la instalación de apps de terceros.


#30 uy si... la tecnología es el nuevo dios que piensa por su cuenta y resistirá al humano lol

V 2
K 22
M

#51 No solo son servidores -> #46

Y dentro de los servidores hay que ver qué servidores estaban afectados. Si tu empresa es pequeña como si tienes todos los servidores afectados pero dicen que Twitter, facebook, google y yahoo ya han corregido el fallo, por tanto estaban afectados ¿cuánta gente usa esos servidores? muchos.

V 1
K 15
D

#1 osea cuando se habla del fracaso de Linux en el escrotorio, todos os dejáis el ojete para salir rápido a decir que todos usamos Linux porque el 99% de los routers y servidores son Linux.

Cuando se descubre un gravísimo fallo de seguridad, todos a sacar balones fuera con lo de que "Decir 2 terceras partes es exagerado" o directamente con falacias ad-hominem en plan "el fallo de seguridad no es tan grave, porque quien lo sacó trabajó para Microsoft".

V 1
K 20
delawen

#50 Creo que no has entendido nada.
"Decir 2 terceras partes es exagerado"

Lo es. De los cerca de diez servidores que administro, sólo dos tenían este fallo de seguridad.

"el fallo de seguridad no es tan grave, porque quien lo sacó trabajó para Microsoft".

La segunda parte de tu frase, a partir del "porque", te la has sacado de la manga directamente.

V 1
K 19
E

#1 Sinceramente la noticia me parece sensacionalista a mas no poder.

El bug existe, es muy muy grave y esta muy extendido (como minimo un 20% de los servidores, segun otros un 60%), asi lo hubiera anunciado el actual equipo de seguridad de Microsoft en persona (y no un ex-empleado) a bombo y platillo el dia de lanzamiento de Windows 8, eso no cambia en absoluto la existencia, ni la seriedad del bug.

Me parece mucho mas FUD la campaña que se esta creando en contra del descubrimiento y campaña de concienciacion: lo ha anunciado un ex-MS (experto en seguridad, por cierto)... es el dia de fin de soporte de WinXP.... windows tambien tiene bugs.... y otros "y tu mas" casi como los politicos.


Todo esto en vez de avisar y concienciar a los usuarios de que cambien sus contraseñas inmediatamente despues de que cada servicio anuncie que ha parcheado sus servidores, acutalizar sus equipos a la version 1.0.1g de OpenSSL, y dar una solucion temporal (recompilar con -DOPENSSL_NO_HEARTBEATS). Dar credito a los verdaderos descubridores (Equipo de Codenomicom y el ingeniero de Google). Que es lo minimo que me esperaba de la comunidad de software libre :(.

Cosa que curiosamente si hace la web criticada (y supuestamente asociada a Microsoft) :S.



#26
- ¡¿Declararse en conflicto de intereses?!
- ¿¡Estamos locos!?
- ¿¡Ahora la gente no puede publicitar el descubrimento de una vulnearabilidad si no trabajan para la esa misma empresa (o trabajan para el rival... dicho sea de paso los bugs de windows se anuncian a bombo y platillo en las webs de SL, menudo doble estandar seria)?!
- ¡¿Desde cuando existe incompatibilidades en la ciencia o la ingenieria?!

Aqui anuncian el descubrimiento de un bug y sus gravedad, ambas cosas son comprobables y reproducibles.

Dicho sea de paso, el bug lleva reportado a OpenSSL un tiempo, pero el parche solo ha salido express una vez que la web que lo anuncia (http://heartbleed.com/) se ha vuelto viral.

V 0
K 9
chusopr

#82 Desde cuando existe incompatibilidades en la ciencia o la ingenieria

Precisamente, en investigaciones científicas es donde más se tienen en cuenta los conflictos de interés: http://ccnmtl.columbia.edu/projects/rcr/rcr_conflicts/foundation/
Para evitar que el interés del investigador por llegar a una determinada conclusión sesgue el resultado de la investigación. Por eso mismo se intentan evitar a priori los conflictos de interés para no tener que justificar a posteriori que el resultado no se ha visto sesgado por los intereses en conflicto.
Esta aplicación de conflicto de intereses no es aplicable a este caso, claro. O en realidad sí, pero es beneficioso: una empresa de la competencia tal vez tenga más interés y ponga más empeño en encontrar un fallo de seguridad. Eso es bueno.
Donde se dice que es perjudicial el conflicto de intereses es en la forma de comunicar el bug, que fue sensacionalista, exagerada y supuestamente interesada.
Y, para acabar, ya advertía en mi comentario #26 sobre la facilidad con la que anunciar un conflicto de intereses se puede confundir con un ad hominem circunstancial («dices que OpenSSL no es seguro porque es lo que te interesa porque te paga Microsoft»).

V 0
K 10
D

iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"


iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

V 12
K 135
alejojo

#c-23" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/2155305/order/23">#23 rel: http://www.securityfocus.com/archive/1/531779

Following up on the CVE-2014-0160 vulnerability, heartbleed. We've
created some iptables rules to block all heartbeat queries using the
very powerful u32 module.

The rules allow you to mitigate systems that can't yet be patched by
blocking ALL the heartbeat handshakes. We also like the capability to
log external scanners

The rules have been specifically created for HTTPS traffic and may be
adapted for other protocols; SMTPS/IMAPS/...

# Log rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

# Block rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

# Wireshark rules
$ tshark -i interface port 443 -R 'frame[68:1] == 18'
$ tshark -i interface port 443 -R 'ssl.record.content_type == 24'

We believe that this should only be used as a temporary fix to decrease
the exposure window. The log rule should allow you to test the firewall
rules before being used in production. It goes without saying that if
you have any suggested improvements to these rules we would be grateful
if you could share them with the security community.

Clearly, use of these rules is at your own risk

ECSC SOC Team Researchers:
Adam Shore
Alex Innes
Fabien Bourdaire

V 7
K 76
D

#24 Un poco hardcore la solución pero bueno.

V 2
K 31
chusopr

A ver, la voto positiva porque creo que efectivamente debería haberse declarado el conflicto de intereses. Pero ojo con convertir un conflicto de intereses en un ad hominem circunstancial.
Y las otras pruebas que ofrece el artículo son bastante circunstanciales también: que registraron un dominio .com y que el anuncio coincidió con el fin del soporte de Windows XP.
¿Realmente creéis que es una campaña para desprestigiar a Linux? ¿Cuántos medios no especializados han citado a Linux en su noticia?
Por supuesto no estoy defendiendo la forma en la que los medios generalistas dieron la noticia, eso ya lo sabéis algunos. Pero las evidencias que cita el artículo para defender que exista una mano negra no me parecen concluyentes.

V 11
K 111
D

#26 Tu comentario es uno de esos casos en los que desearía que existiera un voto doble para darte más karma.

V 0
K 12
chusopr

#52 Hazte un clon ;-P

V 0
K 10
delawen

#35 Bueno, la comunidad del software libre tiene dos ventajas respecto a una empresa privada:

1.- Más mano de obra. Tanto a la hora de testear como a la hora de parchear y generar los paquetes. Los tests son mucho más rápidos si consigues que 100 personas prueben tu parche (y en una vulnerabilidad así, conseguir 100 testers es calderilla) que si tienes a menos personas probando en diferentes plataformas (32 bits, 64 bits, diferentes versiones del SO, etc...).

2.- No hay horarios. Y con esto no quiero decir que los de la comunidad del software libre nos matemos a trabajar. Con esto quiero decir que hay desarrolladores y usuarios desperdigados por todo el mundo, de forma que siempre hay alguno que está en su hora de "echarle una manita a la comunidad" y no hay que esperar a que llegue el horario de trabajo o a que el trabajador reciba la llamada de emergencia y se desplace a las oficinas (o a donde quiera que trabaje).

Estos dos factores hacen que los desarrollos de bugs urgentes sean mucho más rápidos que lo que cualquier organización privada pueda movilizar.

V 6
K 70
Zade

#36 Entiendo y te doy la razón en la parte del software libre, sobre todo la parte de que software libre tiene menos "costes" en el testing, pero sigo sin entender por qué una empresa del calado de microsoft o apple no iban a poder sacar un parche en menos de 24 horas. Entiendo que una pyme de 15 personas tenga "problemas" en parchear en un sólo día si quiere pasar un testing férreo... pero Google, Microsoft o Apple no son ninguna pyme de 15 personas....

V 1
K 15
delawen

#42 sigo sin entender por qué una empresa del calado de microsoft o apple no iban a poder sacar un parche en menos de 24 horas.

No te digo que no, pero si lo sacan en 24 horas será menos testeado y menos revisado que el que ha salido para este bug.

Yo lo veo bastante claro. Ninguna empresa privada de software tiene ahora mismo una capacidad de trabajo instantáneo como la comunidad del software libre. Esto es: no pueden coger a tanta gente de tantos perfiles diferentes para trabajar en una sola cosa en tan poco tiempo.

Solo tienes que buscar las comparativas entre cuanto tarda Microsoft o Apple en solucionar un bug y cuánto tarda por ejemplo Debian.

V 2
K 29
delawen

Pues si es un ataque contra Linux les ha salido al revés. En menos de 24 horas ya había parches para todas las distros. Ahora que venga Microsoft o Apple y consigan cerrar un agujero así tan rápido.

V 6
K 58
Zade

#33 y por qué no iban a poder cerrar un bug así de rápido? Pregunto vamos, porque no veo la relación.

A menos que tengan más "burocracia" y pasar un testing automático y manual más férreo para asegurar que no se han introducido regresiones al corregir el bug, no veo por qué no iban a poder...

V 1
K 15
nexus7

Después de leerme los comentarios, leer el post en inglés (es inglés técnico muy muy fácil) y de ver la página de los susodichos descubridores del bug, debo decir que sí es blanco y en botella.

Logo con un diseño supercuidado, página muy flat, en blanco, con zonas resaltadas que sí interesan y orientadas a la memoria visual, todas las distro que sufren el bug mencionadasy las no afectadas puestas de una manera que parece que son sino culpables prácticamente culpables. Vamos si le añades que el ex CEO de seguridad de M$ está detrás de la página, me cuadra todo.

Y la gente diciendo que es casualidad que el fin de soporte de Windows XP y esto haya coincidido lol lol lol

La radios locales de este país están haciendo entrevistas a empresas de desarrollo a ver cómo les afecta el fin del soporte, preguntando en qué cambia el uso del ordenador que le dan los usuarios, eso señores es atender una noticia fresca, cubrir una demanda y cómo tal es mala publicidad para M$, porque las soluciones que M$ está dando es compren un licencia de un nuevo SO nuestro, obvian el comentar que igual el HW no puede mover esa nueva versión pero qué más da.

Y ante algo así qué se hace, pues recurrir al departamento de marketing/lavandería/imagen corporativa. Señores miren la capitalización bursátil http://www.google.com/finance?q=microsoft&ei=zERGU9iAEoqMwAOCswE

V 5
K 55
demostenes

La vulnerabilidad era muy grave, pero sólo afectaba a los servidores Linux con el OpenSSL más reciente. Los administradores de sistemas oldstable aún tenemos el OpenSSL 0.98 que no era vulnerable.
Por otro lado me la suda si Microsoft intenta criticar los programas de código abierto.
Vulnerabilidades hay en todas partes y una empresa como dinero a espuertas como Oracle tarda meses en arreglarlas.

V 5
K 50
m

#45 que no hombre... Por ejemplo el Android 4.1.1 con Chrome seguramente está afectado.

V 0
K 7
trasier

#10 supongo es algún tipo de ironía que no entiendo puesto las noticias que ha enviado y que no han llegado a portada, por tener negativos, se pueden ver de una forma fácil:

gallirgallir

Al igual que le he visto algún comentario con más negativos de los que te están poniendo a ti.

V 4
K 49
powerline
editado

La verdad es que la vulnerabilidad tiene bastante chicha y que la han dado a conocer como ie de un grandísimo evento en internet se tratase, que lo destruirá todo tal y como lo conocemos. Mi opinión es que se ha vendido como que va a tener unas consecuencias mucho más graves de las que realmente serán, vale, pero esa vulnerabilidad existe y bien es cierto que no es pequeña. Y eso es así lo diga Agamenón o su porquero, que también este artículo parece dar a entender que todo es una conspiración judeo-masónica contra Linux y no deja de ser un problema que es cierto.

V 3
K 32
amstrad

Por lo visto el código de OpenSSL es una chapuza tras otra:

V 2
K 31
zenko

#37 que sea o no una chapuza no justifica esa política de meter miedo a la gente en plan "diario de la noche" de algunas empresas

Por cierto esta técnica es tan usual que se llama FUD (fear uncertainty and doubt)

V 5
K 56
D

gallirgallir has visto la noticia sobre esto en la portada de El País? Sensacionalista no, lo siguiente...

V 2
K 28
gallir
autor

#4 sí, y eso que esta tarde me llamaron y les expliqué (me citan por allí abajo).

V 4
K 52
roybatty
editado

#6 qué rápido suben tus noticiasgallirgallir qué alegría, cómo se nota que no sufres a los censores

V 18
K -111
w

#10 #6 qué rápido suben tus noticiasgallirgallir qué alegría, cómo se nota que no sufres a los censores

...espera que mande una de futbol...

V 11
K 109
roybatty
editado

#11 por cierto, no entiendo ni papa de la que está en inglés, dónde pone lo de la entradilla? si no fuera porque es de #0 pensaría que es microblogging

V 0
K 9
Ferran

#11 voté negativo por error

V 1
K 21
sorrillo
editado

#11 ...espera que mande una de futbol...

... con balones de grafeno ...

V 6
K 79
roybatty
editado

#4 se puede enlazar por lo menos en los comentarios? podemos freirlo a negativos si queréis, pero así lo podemos ver, este? http://tecnologia.elpais.com/tecnologia/2014/04/09/actualidad/1397027162_293877.html

V 3
K 45
l

Pues sin duda nos ha hecho un gran favor a todos, gracias Microsoft, has hecho las plataformas abiertas más seguras.

V 2
K 26
Candidatas
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
22
meneos
tecnología El hombre que mató a Google Search (ENG)
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
14
meneos
tecnología Apple recorta drásticamente la producción de Vision Pro y cancela el modelo 2025 en respuesta a la caída de la demanda [ENG]
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
10
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
11
meneos
tecnología Casi todas las aplicaciones de teclado chinas tienen un fallo de seguridad que revela lo que escriben los usuarios (ENG)
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
10
meneos
tecnología Jugadores ponen a «alquilar» sus GPU para generar porno con IA a cambio de skins de Fortnite
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
23
meneos
tecnología musicForProgramming ();
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
chusopr

Yo, sin encuentran una cinta de la Orquesta Mondragón en las oficinas de Microsoft, me lo creo.

V 1
K 21
roybatty
editado

#0 ánimo, que con un par de votos más la ponemos en portada con menos clics que la web del teletexto

V 6
K 18
RivaSilvercrown

mmm evidentemente que dicha página sea la que esta siendo citada como referencia entre los profesionales del ramo tampoco influye... que la prensa no se entera pero la información de la página, la verdad, no esta mal para poder ampliar lo que se indica en la CVE.

V 1
K 18
q

Sabemos quién es, pero nadie es infalible, Dios no existe, (creo).

V 1
K 16
mdotg

Relacionada:

OpenSSL is written by monkeys (2009)
https://news.ycombinator.com/item?id=7556407

V 1
K 15
Nova6K0

Para mí el fallo es gravísimo. Es decir poder leer 64 KB de datos aleatorios, valga que no leas nada interesante, como que leas las contraseñas u otros datos personales de los usuarios.

Salu2

V 0
K 10
e

Bueno, será sensacionalista, pero exagerado no, este agujero de seguridad te compromete absolutamente todo el servidor.

V 0
K 7
Amandy
editado

Solo veo que existe un problema serio en Internet debido a OpenSSL. Unos se lucran de él con amarillismo y sensacionalismo, otros, intentar restar importancia a un problema que puede ser grave basados en la mala intención de algunos. Mientras unos y otros desvían nuestra atención, el problema continúa.

V 0
K 7
roybatty

Vamos a darle un poco al Tor, que va muy flojo de clics

V 7
K -44
D

Oh, Dios mío! Se ha descubierto una vulnerabilidad en mi software desarrollado por la comunidad, hecho por millones de ojos y manos, bendecido por el Espíritu Santo y por lo tanto libre de bugs, vulnerabilidades, vello facial y olor corporal!! ¿De quién será la culpa?

Por supuesto, de Microsoft. A mí el coche no me arrancó esta mañana y la culpa también era de Microsoft.

V 8
K -55
roybatty
editado

¡Bing! ¡portada! jajajaja que grande todavía tiene menos clics que la mía ¡Parásito!

Hace 10 años | Por roybatty a ehpiratak.net
Publicado hace 10 años por roybatty a ehpiratak.net

¡Parásito!

 ehpiratak.net

V 9
K -62
takamura

#16 Tío, no espamees

V 5
K 20
1 2