tag:blogger.com,1999:blog-21555208.post8398120744483120324..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Heartbleed y el caos de seguridad en InternetChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger22125tag:blogger.com,1999:blog-21555208.post-70734359385058357712015-04-22T00:07:00.341+02:002015-04-22T00:07:00.341+02:00Hola, Chema, me presento con este knickname y ya d...Hola, Chema, me presento con este knickname y ya dejo claro que soy un internauta normal y corriente con un nivel tirando a tristemente bajillo, aunque no soy 100% ignorante (pero estudios de informática nada de nada). Excelente la explicación y déjame que te felicite por el blog y todos sus contenidos y artículos, realmente es impresonante vuestro trabajo de investigación y se aprende la hostia leyendo. Es brutal lo de este fallo y sus implicaciones globales en la red. Un comentario me ha parecido muy agudo:"Siempre es atractiva la teoría de la conspiración porque la explicación más obvia (negligencia) es aburrida". En cuanto a lo del programa Bullrun, ¿realmente esa agencia británica de espionaje electrónico podría estar detrás? ¿Qué sentido tendría? ¿O es que las herramientas para espiar que han creado son tan brutales que se les pueden ir de las manos las consecuencias, o les dan igual con tal de controlar a los borreguitos? No viene ahora al caso, pero leo por ahí que la seguridad y privacidad en Tor también están seriamente comprometidas, y también en la aplicación Tails. Descubrí hace unas semanas el "Pequeño libro rojo del activista en la red" de Marta Peirano, que leeré. Entonces, sin que vaya todo esto en perjuicio de Marta, hasta muchas de las herramientas que ella recomienda pueden estar quedándose obsoletas. La relación es que ya uno, ni sus datos,tienen garantizadas la seguridad y la privacidad en internet. En fin, Chema, felicidades de nuevo y un saludo.whatgoesaroundnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43854505057658910712014-10-04T19:51:32.454+02:002014-10-04T19:51:32.454+02:00Tengo contratado un servidor cloud VPS con un cert...Tengo contratado un servidor cloud VPS con un certificado de Thawte SSL 123 y está infectado por Heartbleed y no hay manera de acceder a la web en wordpress, WooCommerce, los tiempos de espera son... vamos, que no carga nunca, siempre se produce un redireccionamiento o time-out...<br /><br />Desde el soporte técnico llevan casi una semana intentando solucionarlo pero todavía no han conseguido eliminar o actualizar el OPENSSL para CENTos... y así llevamos, casi una semana que la página en Wordpress NO funciona y presenta un blucle de redireccionamiento... desde el panel de control apenas podemos trabajar por la lentitud ya que todas la páginas está encriptadas... alguien tiene un caso similar ¿?Anonymoushttps://www.blogger.com/profile/04979019224848318130noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23801849270839478192014-10-04T19:49:07.733+02:002014-10-04T19:49:07.733+02:00Este comentario ha sido eliminado por el autor.Anonymoushttps://www.blogger.com/profile/04979019224848318130noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-43046894225181229632014-04-12T19:59:02.319+02:002014-04-12T19:59:02.319+02:00Impresionante. Así contado por ti parece hasta una...Impresionante. Así contado por ti parece hasta una chorrada de la que todo el mundo debería darse cuenta enseguida ¿cómo es posible? <br />Será que lo explicas muy bien, quiero creer que solo es por eso.<br /><br />PD: No tiene que ver pero soy un Usuario Ignorante Avanzado, y no se muy bien por dónde empezar, para poder entender con mayor profundidad todo lo que explicas, como "funciona internet", los protocolos... lo que tu sabes ¿por dónde empezar? (Oigo las risas)El Desertorhttps://www.blogger.com/profile/00027246996138030945noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-91458758151835445162014-04-11T16:23:45.451+02:002014-04-11T16:23:45.451+02:00Dos breves notas dadas la imprecisiones del artícu...Dos breves notas dadas la imprecisiones del artículo:<br /><br />a) Al menos los sistemas Linux (y supongo que cualquier OS moderno) borran la memoria física antes de asignarla a otro proceso, por lo que usar openssl con apache, por ejemplo, no hará que las claves de cifrado de disco, etc se vayan a ver comprometidas por este bug. Es fallo es grave, sí, pero no tanto. Eso sí, todo lo que pase por el servicio podría verse, en principio, comprometido. <br /><br />b) Las protecciones ASLR no tienen nada que ver con este problema, ni aumentan su gravedad.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-30178015114466515742014-04-11T13:27:18.726+02:002014-04-11T13:27:18.726+02:00a Titulo anecdótico una tira comica sobre el bug
...a Titulo anecdótico una tira comica sobre el bug<br /><br /><a href="http://xkcd.com/1354/" rel="nofollow">http://xkcd.com/1354/</a>Anonymoushttps://www.blogger.com/profile/15565840980476138756noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-51902153587076020682014-04-11T13:24:23.664+02:002014-04-11T13:24:23.664+02:00Este comentario ha sido eliminado por el autor.Anonymoushttps://www.blogger.com/profile/15565840980476138756noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-2283356160746780942014-04-11T11:06:24.579+02:002014-04-11T11:06:24.579+02:00Está claro que se pueden obtener paquetes de 64 bi...Está claro que se pueden obtener paquetes de 64 bits, además de que son diferentes en cada respuesta, pero ¿cómo sabe el atacante a que parte corresponden y como unirlos para obtener información y no un conjunto de bits?Antchttps://www.blogger.com/profile/09387409930074414222noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82860877438031672812014-04-11T07:45:35.411+02:002014-04-11T07:45:35.411+02:00La solución es muy simple:
Dejad de usar OpenSSL !...La solución es muy simple:<br />Dejad de usar OpenSSL !!<br />Porque se ve que es bastante "open..."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-7497039191441490482014-04-11T06:20:46.696+02:002014-04-11T06:20:46.696+02:002 dias despues de comenzar oficialmente la operaci...2 dias despues de comenzar oficialmente la operacion PONLEFRENO con la que denunciar los puntos negros con windows XPired edition instalado y resulta que la urbana va con las ruedas pinchadas ...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64452454742673971352014-04-10T21:04:38.002+02:002014-04-10T21:04:38.002+02:00Siempre es atractiva la teoría de la conspiración ...Siempre es atractiva la teoría de la conspiración porque la explicación más obvia (negligencia) es aburrida: http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse<br /><br />PS. I work for the NSA and my comments don't represent the views of my employer.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-27992970649187672572014-04-10T18:06:10.083+02:002014-04-10T18:06:10.083+02:00[Sarcasmo]
Menos mal que OpenSSL es de código abie...[Sarcasmo]<br />Menos mal que OpenSSL es de código abierto, que si no...<br />[/Sarcasmo]<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-32740374079800235972014-04-10T17:26:32.092+02:002014-04-10T17:26:32.092+02:00Gracias por este post tan bien explicado!
Solo me...Gracias por este post tan bien explicado!<br /><br />Solo me queda una duda, en los tiempo que corren ¿El sistema operativo permite que un proceso acceda a la memoria de los otros (sin hacer nada especial)? Asumiendo que la respuesta es sí ¿No debería el servidor web estar ejecutándose con privilegios de administrador para que esto sea posible?dudenoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-40440422109534430832014-04-10T16:39:25.479+02:002014-04-10T16:39:25.479+02:00Hola, al intentar acceder a https://www.twitter.co...Hola, al intentar acceder a https://www.twitter.com me aparece esto:<br /><br />"www.twitter.com utiliza normalmente la encriptación (SSL) para proteger la información. Cuando Chrome ha intentado establecer conexión con www.twitter.com, www.twitter.com ha devuelto inusuales e incorrectas. Por tanto, es posible que un atacante esté intentando suplantar la identidad de www.twitter.com o que una pantalla de inicio de sesión Wi-Fi haya interrumpido la conexión. Tu información sigue estando protegida ya que Chrome detuvo la conexión antes de que se llevara a cabo cualquier intercambio de datos.<br />Los ataques y errores de red suelen ser temporales, así que es probable que esta página funcione más adelante. También puedes probar a utilizar otra red.<br />Información técnica: Chrome no puede utilizar el certificado que ha recibido durante este intento de conexión para proteger tu información porque el formato del certificado no es correcto.<br />Tipo de error: Malformed certificate<br />Destinatario: twitter.com<br />Emisor: VeriSign Class 3 Extended Validation SSL CA<br />Hashes de clave pública: sha1/FXnwvO30nbpcJgjDK6bH+rGSqEo=<br />sha256/qaKZwjzvNNGAc/ryUbwfqL2oArYbz4OPU22TnZ8MxNc=<br />sha1/rkrX+bOA4RKTMrtS3loJDFlbM9a=<br />sha256/OTV6OSADZrQuFMltaBc+5XvltK1Ljeify/yvlthNjvM=<br />sha1/sYEIGhmkwJQf+uiVKMEkyZs0rMc=<br />shae256/JbQbUG5JMJUol6brnx0x3vZF6jilxsapbXGVfjhN8Fg="<br /><br />¿Está esto relacionado con el heartbleed? ¿Qué debería hacer?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-4609299553447737292014-04-10T16:12:24.033+02:002014-04-10T16:12:24.033+02:00Maligno tengo una duda, mencionas que
Google cono...Maligno tengo una duda, mencionas que <br />Google conocía el bug desde 2013 pero porqué entonces no se le había dado importancia antes a esto, porqué hasta ahora sale a la luz de esta manera ? Espero respondas a mi duda Manfred Aguilarhttps://www.blogger.com/profile/07864815357623013847noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56708394353487404622014-04-10T15:18:04.349+02:002014-04-10T15:18:04.349+02:00Un detallito: SFTP va sobre SSH. En todo caso esta...Un detallito: SFTP va sobre SSH. En todo caso estaría afectado FTPs que va sobre SSL.<br /><br />Un saludo!Francisco Ocahttps://www.blogger.com/profile/04619209094503908585noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-60793663690306765992014-04-10T14:54:33.457+02:002014-04-10T14:54:33.457+02:00@uno que pasaba, right! lo cambio.
Saludos!@uno que pasaba, right! lo cambio.<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-3873052431420547862014-04-10T14:51:37.282+02:002014-04-10T14:51:37.282+02:00Hola Chema,
Hay un pequeño detalle que no es cier...Hola Chema,<br /><br />Hay un pequeño detalle que no es cierto en lo que afirmas.<br /><br />Donde dices:<br /><i>Hasta el último byte de código o datos que sean utilizados en un servidor tienen que pasar por memoria, así que ahí están hasta las claves TrueCrypt, FileVault o Bitlocker de todos los servidores. Fin, pueden tener todo, cambia todo.</i><br /><br />Hay que dejar claro una cosa: No puedes salirte de la memoria asignada al proceso con lo cual con MUY poca probabilidad vas a dar con una sección de memoria que no hubiese estado usada ya por la aplicación que usa OpenSSL.<br /><br />Vas a dar con regiones liberadas con muchisima probabilidad pertenecientes al proceso atacado y no a otros.<br /><br />Es muy grave ya que puedes obtener en claro peticiones HTTP de otras personas conteniendo credenciales pero mucho mas lejos de dar con claves TrueCrypt y demás que están en la región de memoria de OTRO proceso (podría darse el caso de que se le asigne una región de memoria al proceso atacado donde antes había una clave de TrueCrypt pero hasta donde se, y como es lógico, se hace un borrado activo al cerrarlo).<br /><br />Un saludo.Uno que pasabahttp://google.es/noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-15450569970698397162014-04-10T13:38:15.104+02:002014-04-10T13:38:15.104+02:00Muy bien explicado!Muy bien explicado!Vicente Motoshttps://www.blogger.com/profile/03053036399006390105noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-13934395173232584672014-04-10T12:27:35.659+02:002014-04-10T12:27:35.659+02:00Muy buena explicación Chema. Solo un apunte, en el...Muy buena explicación Chema. Solo un apunte, en el artículo escribes "Para ello en SSLv3 se envía una estructura de datos TLS1_HB_REQUEST de 4 bytes en la va un payload de 1 byte que le permite decir qué tamaño tiene el mensaje de HeartBeat". Para conseguir decirle que el tamaño es de 64K se tendrá que especificar en dos bytes, ¿cierto?Samuelhttp://www.mendrugox.netnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-49635191361291938512014-04-10T11:19:01.618+02:002014-04-10T11:19:01.618+02:00Estoy de acuerdo, muy bien explicado. Es la explic...Estoy de acuerdo, muy bien explicado. Es la explicación que andaba buscando.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23392623404769085222014-04-10T09:42:03.990+02:002014-04-10T09:42:03.990+02:00Excelente Chema, muy claro como siempre.Excelente Chema, muy claro como siempre.Blog nuevohttps://www.blogger.com/profile/01585193247778403652noreply@blogger.com