Portada
Hace 10 años | Por Fliegende a xkcd.com
Publicado hace 10 años por Fliegende a xkcd.com
Heartbleed, explicado [ENG]

Heartbleed, explicado [ENG]

 xkcd.com

La mejor y más simple explicación del bug Heartbleed que he visto en todo este tiempo.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 14.4k 55

Comentarios

gabriel_costa

oh no... xkcd tambien trabaja para Microsoft!!!

V 9
K 81
LoboWallStreet_

#1 #2 #3 #4 #5 #6 #7 #8 #9 #10 #11 #12 #13 #14 #15 #16 #17 #18 #19 #20 #21 #22 #23 #24 #25 #26 #27 #28 #29 #30
Es una explicación simple pero no del todo cierta
Divulgajare: Corazón Sangrante

Hace 9 años | Por LoboWallStreet_ a gamesajare.com
Publicado hace 9 años por LoboWallStreet_ a gamesajare.com

Divulgajare: Corazón Sangrante

 gamesajare.com


Bukkake de negativos por spam en 3,2,1...

V 1
K 0
Happy_K
editado

Desde luego el bug es muy importante. Que clase de pruebas de calidad han pasado?.
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo.
C:>Format \\internet
The type of file format is NTFS

WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.

V 9
K 75
ElPerroDeLosCinco

#2 Habrás hecho una copia en un diskete antes, no?

V 9
K 90
Happy_K

#4 Ya tenía una copia en Megaupload, no hace falta ninguna más. lol

V 14
K 119
delawen

#2 Erróneo. Internet no puede estar en NTFS, como mucho en ReiserFS.

V 11
K 103
D

#2 error, el porno es informateable, es indestructible!!

V 2
K 19
b

#30 No en complicado si tienes un método, como añadir a un password base "algo" del servicio al que pertenezca, y y otro "algo" que cambies cada varios meses...

Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"

Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo

O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...

V 7
K 71
a

#41 "password base: "M3n3ame""

A cuantos les habras jodido el password

V 0
K 8
s

#48 Mejor usar "fidelio"

V 0
K 7
Yagami_Raito

#41 Mejor usar una aplicación keyring como "keepass" o "keepassx".

Y contraseñas generadas al azar, usando una utilidad como "pwgen".

V 0
K 9
a

"Isabel wants pages about 'snakes but not too long'" Menuda está hecha la Isabel

V 5
K 48
avalancha971
editado

Otro bug más relacionado con el tamaño de los Strings.

Me gustó más el del if sin llaves con dos goto debajo.

V 3
K 38
Baloo

Algunos links de interés:

Página "oficial" sobre la vulnerabilidad: http://heartbleed.com/

TOP1000 de las páginas mas visitadas de internet y su estado de vulnerabilidad el día 8 de Abril a las 12 UTC: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

Comprobador de vulnerabilidad: http://filippo.io/Heartbleed/

V 3
K 37
Sofrito

Este tipo es genial haciendo viñetas. Muy bien explicado y un grave agujero de seguridad.

V 3
K 37
Despero
editado

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH

Ahora lo pillo.
xkcd como siempre es genial explicando cosas difíciles for dummies.


editado:
Ahora me asalta otra duda. Si es algo tan.. así.. ¿Cómo es posible que hayan tardado dos años en darse cuenta?
Quiero decir que, joder, siguiendo la analogía de xkcd, alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
¿La gente nunca se ha equivocado en estos dos años al hacer un request y les ha devuelto algo sospechoso?

V 2
K 32
Cuñado

#10 ¿Cómo es posible que hayan tardado dos años en darse cuenta?

No sabemos cuánto han tardado en darse cuenta. Ése es el problema.

V 27
K 245
delawen

#10 alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.

Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano

V 14
K 131
Bolex

Explicación sencilla y práctica para que la gente entienda lo del "Heartbleed" que obviamente los medios ignoran para evitar pánicos a gran escala...
Y si señores, hay gente que ahora mismo tiene información adicional de vuestras vidas (incluyendo contraseñas) y esta vez sin haberse gastado 19 Mil Millones en una app de movil!

V 3
K 30
angelitoMagno

#1 Los medios ignoran lo del Heartbleed, ¿o es que lo del Heartbleed no es tan grave como lo pintan?
El antiguo director de seguridad de Microsoft, detrás del heartbleed.com

Hace 10 años | Por gallir a techrights.org
Publicado hace 10 años por gallir a techrights.org

El antiguo director de seguridad de Microsoft, det...

 techrights.org

V 3
K 44
celyo

#8 http://xkcd.com/1353/

V 7
K 68
CTprovincia

#12 El "title" de esta es un RELOL.

V 0
K 11
D

#1 Sí, vamos, a los no iniciados nos ha quedado clarísmo.

V 3
K 35
Frederic_Bourdin

#1 ¿Ignoran? Pero si ha sido noticia en todos los grandes medios. Ayer en la CNN lo explicaron no como en esta tira pero de una forma bastante llana para que lo entendiera todo el mundo.

V 0
K 9
Yagami_Raito

Mola pero no es posible solo con 500, sino que da hasta 65535.

Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.

V 6
K 30
delawen

#9 Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.

¿En serio? Me suena raro, eso sería casi hacerlo a propósito. Puedes elegir la longitud, pero no dónde empieza. Porque empieza donde el servidor coloque tu respuesta y eso lo elige el servidor, no tú. ¿O lo entendí mal?

V 4
K 52
M

#18 Lo entendiste bien, no se puede elegir donde empieza.

V 9
K 84
D

#18 #20 #21 Mucha información de la que sacas es mierda inservible, se le ha dado muchísimo bombo a este fallo, saliendo en periódicos de tirada nacional poniéndolo como el fin de internet cuando hace unos pocos años internet era mucho, mucho menos seguro...

Es más, si supiera mucha gente qué tipo de personas tratan con sus datos y tienen acceso a ellos... dejarían de usar internet lol

V 3
K 36
M

#31 mucha de la informacion es mierda, mucha otra no. Tanto se pilla mierda como nombres de usuario y contraseñas (yahoo). Que se pille mierda no desquita todo lo demas. No se que pretendeis diciendo que sale mucha mierda, pues claro que sale mierda... y todo lo demas, ese es el problema.

V 0
K 6
D

#31 #32 Bueno, que no es tan fácil como lo pintan y que no puedes realizar ataques dirigidos, consigues cosas aleatorias.

V 1
K 18
D

#32 Como te ha dicho #33 el heartbleed es un bug serio SIIII, pero no es superman wall

V 0
K 6
M

#35 Aunque sea aleatorio, cuando lo puedes repetir tantas veces como quieras, la probabilidad de encontrar algo útil tiende a 1. Ya se ha comprobado como salen contraseñas, sesiones, cookies, datos útiles. Te puedes descargar gigas ¿con mucha basura? sí pero también con datos útiles.

#36 Supermán no es pero algunos lo pintáis de Heidi. Da la sensación de que queréis que os permitan control remoto sobre la máquina.

V 0
K 6
D

#31 Es como que me digas que el phishing no es importante porque solo una pequeñisima parte de la población cae en él.

V 0
K 14
Yagami_Raito
editado

#18 Hmm... tienes razón. Me liaron hablando de posición arbitraria... pero en realidad es aleatoria (desde donde se le antoje al servidor meter la cadena)

Puedes, eso si, leer 64KB cada vez, indefinidamente, hasta que la conexión se corte. Eso da mucho margen de leer información importante.

Bonus: http://www.exploit-db.com/exploits/32745/

V 3
K 31
Yagami_Raito

#24 see #21.

V 0
K 9
Yagami_Raito

#34 see #21, sorry about #50.

V 0
K 9
D

#9 Eso te lo acabas de inventar, y te aseguro que no es verdad.

V 0
K 6
Avantasia

Esto debe ser parte de la conspiración de Microsoft para desprestigiar el software libre de la que hablabagallirgallir ayer
Primero sacan una web con logo y todo, luego un comic de XKCD! meten datos falsos a propósito en arstechnica para que los filtre la prensa. Que va a ser lo siguiente, un meme en forocoches?! estamos perdidos lol

V 4
K 24
Candidatas
22
meneos
tecnología Ya puedes comprar un perro robot lanzallamas por menos de 10.000 dólares [ENG]
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
22
meneos
tecnología musicForProgramming ();
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
10
meneos
tecnología Jugadores ponen a «alquilar» sus GPU para generar porno con IA a cambio de skins de Fortnite
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
16
meneos
tecnología Están saqueando Internet (EN)
angelitoMagno

Que grande es el tipo de XKCD.

V 1
K 23
D

Es un tira comica es evidente que no voy a pedirle rigor tecnico, pero he visto en un blog de un famoso "hacker" español, decir sandeces como que con el hearbleed se puede accedr a contraseñas de la memoria del servidor NOOOOOOO con el heartbleed solo se puede acceder a datos que esten en la memoria que ejecuta el proceso openssl, seamos serios, desde el heartbleed no se pueden leer datos de otros procesos.

V 1
K 15
g

#35 Por ejemplo una contraseña enviada por HTTPS (que usa openSSL), ¿seguro que no puede quedar expuesta por heartbleed?

Es que creo que esa es la madre del cordero

V 0
K 7
D
editado

#42 Si claro que puede quedar expuesta,porque esa contraseña se estaria almacenando en la parte de memoria que utiliza el proceso openssl, yo no he dicho en ningun momento que no, creo que no me has entendido o no me he explicado bien. A lo que me refiero es que no puede acceder a otras credenciales o datos, si estas no se estan ejecutanndo bajo el mismo proceso que usa openssl

V 0
K 6
RobinWood7

Cuanto más hablen los medios de un bug o un virus, menos peligroso es. ¿Recordáis el I LOVE U?

V 1
K 13
Marco_Pagot

¿En todos estos dos años desde que se conoce?

V 0
K 11
tesla79
editado

Edit

V 0
K 7
D

¿Está afectado ssh también por ésta vulnerabilidad? ¿se podría hacer un exploit para ssh?

V 0
K 7
OnekO

#28 según tengo entendido, no.

V 1
K 16
D

#28 No SSH funciona con TLS

V 1
K 15
P

Stupid Meg

V 0
K 6
Donatello

¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?

V 0
K 6
delawen
editado

#17 ¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?

Tú mismo puedes comprobar si un servidor tiene este fallo con cualquiera de las herramientas que han salido y fuerzan el fallo. Así que yo de ti cambiaría las contraseñas, pero primero comprobando que el servidor ya está corregido.

Por ejemplo: http://filippo.io/Heartbleed/

V 3
K 35
n

#17 La gran mayoría de webs importantes afectadas ya han parcheado su versión de OpenSSL, así que no son vulnerables a este ataque. El problema viene de que si leyó algún hacker la memoria del servidor ANTES del parcheo, las contraseñas que hubiesen salido de ahí están comprometidas.

El consejo es cambiar las contraseñas que tengan esencialmente más de una semana en todas partes.

V 0
K 6
b

#17 Deberíamos acostumbrarnos a cambiar nuestras contraseñas periódicamente, independientemente de bugs o robos de datos puntuales.

V 3
K 30
D

#26 Entre ir cambiando de contraseña y tener una contraseña diferente en cada sitio conseguiremos ser absolutamente incapaces de recordar cómo acceder a cualquier servicio. Nunca he entendido este tipo de consejos, alejados de la realidad de la gente "normal".

V 0
K 10
f

#17 Tiene sentido que cambies tus contraseñas periódicamente, independientemente de que este u otros bugs te hayan podido afectar o no

V 0
K 6