#14:
#10¿Cómo es posible que hayan tardado dos años en darse cuenta?
No sabemos cuánto han tardado en darse cuenta. Ése es el problema.
#16:
#10alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano
#41:
#30 No en complicado si tienes un método, como añadir a un password base "algo" del servicio al que pertenezca, y y otro "algo" que cambies cada varios meses...
Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"
Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo
O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...
#5:
#4 Ya tenía una copia en Megaupload, no hace falta ninguna más.
#2:
Desde luego el bug es muy importante. Que clase de pruebas de calidad han pasado?.
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo. C:>Format \\internet
The type of file format is NTFS
WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.
#6:
#2 Erróneo. Internet no puede estar en NTFS, como mucho en ReiserFS.
Desde luego el bug es muy importante. Que clase de pruebas de calidad han pasado?.
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo. C:>Format \\internet
The type of file format is NTFS
WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.
#30 No en complicado si tienes un método, como añadir a un password base "algo" del servicio al que pertenezca, y y otro "algo" que cambies cada varios meses...
Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"
Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo
O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...
Ahora lo pillo.
xkcd como siempre es genial explicando cosas difíciles for dummies.
editado:
Ahora me asalta otra duda. Si es algo tan.. así.. ¿Cómo es posible que hayan tardado dos años en darse cuenta?
Quiero decir que, joder, siguiendo la analogía de xkcd, alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
¿La gente nunca se ha equivocado en estos dos años al hacer un request y les ha devuelto algo sospechoso?
#10alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano
Explicación sencilla y práctica para que la gente entienda lo del "Heartbleed" que obviamente los medios ignoran para evitar pánicos a gran escala...
Y si señores, hay gente que ahora mismo tiene información adicional de vuestras vidas (incluyendo contraseñas) y esta vez sin haberse gastado 19 Mil Millones en una app de movil!
#1 ¿Ignoran? Pero si ha sido noticia en todos los grandes medios. Ayer en la CNN lo explicaron no como en esta tira pero de una forma bastante llana para que lo entendiera todo el mundo.
#9Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.
¿En serio? Me suena raro, eso sería casi hacerlo a propósito. Puedes elegir la longitud, pero no dónde empieza. Porque empieza donde el servidor coloque tu respuesta y eso lo elige el servidor, no tú. ¿O lo entendí mal?
#18#20#21 Mucha información de la que sacas es mierda inservible, se le ha dado muchísimo bombo a este fallo, saliendo en periódicos de tirada nacional poniéndolo como el fin de internet cuando hace unos pocos años internet era mucho, mucho menos seguro...
Es más, si supiera mucha gente qué tipo de personas tratan con sus datos y tienen acceso a ellos... dejarían de usar internet
#31 mucha de la informacion es mierda, mucha otra no. Tanto se pilla mierda como nombres de usuario y contraseñas (yahoo). Que se pille mierda no desquita todo lo demas. No se que pretendeis diciendo que sale mucha mierda, pues claro que sale mierda... y todo lo demas, ese es el problema.
#35 Aunque sea aleatorio, cuando lo puedes repetir tantas veces como quieras, la probabilidad de encontrar algo útil tiende a 1. Ya se ha comprobado como salen contraseñas, sesiones, cookies, datos útiles. Te puedes descargar gigas ¿con mucha basura? sí pero también con datos útiles.
#36 Supermán no es pero algunos lo pintáis de Heidi. Da la sensación de que queréis que os permitan control remoto sobre la máquina.
#18 Hmm... tienes razón. Me liaron hablando de posición arbitraria... pero en realidad es aleatoria (desde donde se le antoje al servidor meter la cadena)
Puedes, eso si, leer 64KB cada vez, indefinidamente, hasta que la conexión se corte. Eso da mucho margen de leer información importante.
Esto debe ser parte de la conspiración de Microsoft para desprestigiar el software libre de la que hablabagallir ayer
Primero sacan una web con logo y todo, luego un comic de XKCD! meten datos falsos a propósito en arstechnica para que los filtre la prensa. Que va a ser lo siguiente, un meme en forocoches?! estamos perdidos
Es un tira comica es evidente que no voy a pedirle rigor tecnico, pero he visto en un blog de un famoso "hacker" español, decir sandeces como que con el hearbleed se puede accedr a contraseñas de la memoria del servidor NOOOOOOO con el heartbleed solo se puede acceder a datos que esten en la memoria que ejecuta el proceso openssl, seamos serios, desde el heartbleed no se pueden leer datos de otros procesos.
#42 Si claro que puede quedar expuesta,porque esa contraseña se estaria almacenando en la parte de memoria que utiliza el proceso openssl, yo no he dicho en ningun momento que no, creo que no me has entendido o no me he explicado bien. A lo que me refiero es que no puede acceder a otras credenciales o datos, si estas no se estan ejecutanndo bajo el mismo proceso que usa openssl
#17¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?
Tú mismo puedes comprobar si un servidor tiene este fallo con cualquiera de las herramientas que han salido y fuerzan el fallo. Así que yo de ti cambiaría las contraseñas, pero primero comprobando que el servidor ya está corregido.
#17 La gran mayoría de webs importantes afectadas ya han parcheado su versión de OpenSSL, así que no son vulnerables a este ataque. El problema viene de que si leyó algún hacker la memoria del servidor ANTES del parcheo, las contraseñas que hubiesen salido de ahí están comprometidas.
El consejo es cambiar las contraseñas que tengan esencialmente más de una semana en todas partes.
#26 Entre ir cambiando de contraseña y tener una contraseña diferente en cada sitio conseguiremos ser absolutamente incapaces de recordar cómo acceder a cualquier servicio. Nunca he entendido este tipo de consejos, alejados de la realidad de la gente "normal".
Comentarios
oh no... xkcd tambien trabaja para Microsoft!!!
#1 #2 #3 #4 #5 #6 #7 #8 #9 #10 #11 #12 #13 #14 #15 #16 #17 #18 #19 #20 #21 #22 #23 #24 #25 #26 #27 #28 #29 #30
Es una explicación simple pero no del todo cierta
Divulgajare: Corazón Sangrante
Divulgajare: Corazón Sangrante
gamesajare.comBukkake de negativos por spam en 3,2,1...
Desde luego el bug es muy importante. Que clase de pruebas de calidad han pasado?.
Me imagino que el gap en el sistema es mucho mas complejo que pedir "POTATO" a un server, pero si se le puede engañar a un servidor para que te dé más información que la solicitada, da mucho miedo.
C:>Format \\internet
The type of file format is NTFS
WARNING, ALL DATA ON NON-REMOVABLE DISK
DRIVE \\internet WILL BE LOST!
Proceed with Format (Y/N)? y
Formating 985,962,120,365TB
3 percent completed.
#2 Habrás hecho una copia en un diskete antes, no?
#4 Ya tenía una copia en Megaupload, no hace falta ninguna más.
#2 Erróneo. Internet no puede estar en NTFS, como mucho en ReiserFS.
#2 error, el porno es informateable, es indestructible!!
#30 No en complicado si tienes un método, como añadir a un password base "algo" del servicio al que pertenezca, y y otro "algo" que cambies cada varios meses...
Ejemplo:
password base: "M3n3ame"
pass 1 para gmail "M3n3ame*correo_4zul"
pass 1 para banco "M3n3am3*ladr0nes_4zul"
a los X meses:
pass 2 para gmail "M3n3ame*correo_perr0"
pass 2 paga banco "M3neame*ladr0nes_perr0"
Con esto como esto es sencillo tener passwords distinto para cada servicio, y no volverte loco al cambiarlo cada cierto tiempo
O al menos, cambiar las importantes (el correo, el banco, etc.), los foros, menéame y cosas así pueden pasar con la misma...
#41 "password base: "M3n3ame""
A cuantos les habras jodido el password
#48 Mejor usar "fidelio"
#41 Mejor usar una aplicación keyring como "keepass" o "keepassx".
Y contraseñas generadas al azar, usando una utilidad como "pwgen".
"Isabel wants pages about 'snakes but not too long'" Menuda está hecha la Isabel
Otro bug más relacionado con el tamaño de los Strings.
Me gustó más el del if sin llaves con dos goto debajo.
Algunos links de interés:
Página "oficial" sobre la vulnerabilidad: http://heartbleed.com/
TOP1000 de las páginas mas visitadas de internet y su estado de vulnerabilidad el día 8 de Abril a las 12 UTC: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
Comprobador de vulnerabilidad: http://filippo.io/Heartbleed/
Este tipo es genial haciendo viñetas. Muy bien explicado y un grave agujero de seguridad.
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH
Ahora lo pillo.
xkcd como siempre es genial explicando cosas difíciles for dummies.
Quiero decir que, joder, siguiendo la analogía de xkcd, alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
¿La gente nunca se ha equivocado en estos dos años al hacer un request y les ha devuelto algo sospechoso?
#10 ¿Cómo es posible que hayan tardado dos años en darse cuenta?
No sabemos cuánto han tardado en darse cuenta. Ése es el problema.
#10 alguien ha tenido que equivocarse al contar las letras en esternocleidomastoideo y le ha tenido que devolver esternocleidomastoideo Use o algo así.
Hombre, a ver, no es tan fácil equivocarse en algo así. Supongo que el 99% de las llamadas a heartbeat serán del tipo "String, length(String)" y entonces el length que se envía siempre es el del string. No creo que nadie lo haga a mano
Explicación sencilla y práctica para que la gente entienda lo del "Heartbleed" que obviamente los medios ignoran para evitar pánicos a gran escala...
Y si señores, hay gente que ahora mismo tiene información adicional de vuestras vidas (incluyendo contraseñas) y esta vez sin haberse gastado 19 Mil Millones en una app de movil!
#1 Los medios ignoran lo del Heartbleed, ¿o es que lo del Heartbleed no es tan grave como lo pintan?
El antiguo director de seguridad de Microsoft, detrás del heartbleed.com
El antiguo director de seguridad de Microsoft, det...
techrights.org#8 http://xkcd.com/1353/
#12 El "title" de esta es un RELOL.
#1 Sí, vamos, a los no iniciados nos ha quedado clarísmo.
#1 ¿Ignoran? Pero si ha sido noticia en todos los grandes medios. Ayer en la CNN lo explicaron no como en esta tira pero de una forma bastante llana para que lo entendiera todo el mundo.
Mola pero no es posible solo con 500, sino que da hasta 65535.
Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.
#9 Y encima, puedes escoger en que parte de la memoria virtual del proceso quieres empezar a leer.
¿En serio? Me suena raro, eso sería casi hacerlo a propósito. Puedes elegir la longitud, pero no dónde empieza. Porque empieza donde el servidor coloque tu respuesta y eso lo elige el servidor, no tú. ¿O lo entendí mal?
#18 Lo entendiste bien, no se puede elegir donde empieza.
#18 #20 #21 Mucha información de la que sacas es mierda inservible, se le ha dado muchísimo bombo a este fallo, saliendo en periódicos de tirada nacional poniéndolo como el fin de internet cuando hace unos pocos años internet era mucho, mucho menos seguro...
Es más, si supiera mucha gente qué tipo de personas tratan con sus datos y tienen acceso a ellos... dejarían de usar internet
#31 mucha de la informacion es mierda, mucha otra no. Tanto se pilla mierda como nombres de usuario y contraseñas (yahoo). Que se pille mierda no desquita todo lo demas. No se que pretendeis diciendo que sale mucha mierda, pues claro que sale mierda... y todo lo demas, ese es el problema.
#31 #32 Bueno, que no es tan fácil como lo pintan y que no puedes realizar ataques dirigidos, consigues cosas aleatorias.
#32 Como te ha dicho #33 el heartbleed es un bug serio SIIII, pero no es superman
#35 Aunque sea aleatorio, cuando lo puedes repetir tantas veces como quieras, la probabilidad de encontrar algo útil tiende a 1. Ya se ha comprobado como salen contraseñas, sesiones, cookies, datos útiles. Te puedes descargar gigas ¿con mucha basura? sí pero también con datos útiles.
#36 Supermán no es pero algunos lo pintáis de Heidi. Da la sensación de que queréis que os permitan control remoto sobre la máquina.
#31 Es como que me digas que el phishing no es importante porque solo una pequeñisima parte de la población cae en él.
#18 Hmm... tienes razón. Me liaron hablando de posición arbitraria... pero en realidad es aleatoria (desde donde se le antoje al servidor meter la cadena)
Puedes, eso si, leer 64KB cada vez, indefinidamente, hasta que la conexión se corte. Eso da mucho margen de leer información importante.
Bonus: http://www.exploit-db.com/exploits/32745/
#24 see #21.
#34 see #21, sorry about #50.
#9 Eso te lo acabas de inventar, y te aseguro que no es verdad.
Esto debe ser parte de la conspiración de Microsoft para desprestigiar el software libre de la que hablabagallir ayer
Primero sacan una web con logo y todo, luego un comic de XKCD! meten datos falsos a propósito en arstechnica para que los filtre la prensa. Que va a ser lo siguiente, un meme en forocoches?! estamos perdidos
Que grande es el tipo de XKCD.
Es un tira comica es evidente que no voy a pedirle rigor tecnico, pero he visto en un blog de un famoso "hacker" español, decir sandeces como que con el hearbleed se puede accedr a contraseñas de la memoria del servidor NOOOOOOO con el heartbleed solo se puede acceder a datos que esten en la memoria que ejecuta el proceso openssl, seamos serios, desde el heartbleed no se pueden leer datos de otros procesos.
#35 Por ejemplo una contraseña enviada por HTTPS (que usa openSSL), ¿seguro que no puede quedar expuesta por heartbleed?
Es que creo que esa es la madre del cordero
#42 Si claro que puede quedar expuesta,porque esa contraseña se estaria almacenando en la parte de memoria que utiliza el proceso openssl, yo no he dicho en ningun momento que no, creo que no me has entendido o no me he explicado bien. A lo que me refiero es que no puede acceder a otras credenciales o datos, si estas no se estan ejecutanndo bajo el mismo proceso que usa openssl
Cuanto más hablen los medios de un bug o un virus, menos peligroso es. ¿Recordáis el I LOVE U?
¿En todos estos dos años desde que se conoce?
Edit
¿Está afectado ssh también por ésta vulnerabilidad? ¿se podría hacer un exploit para ssh?
#28 según tengo entendido, no.
#28 No SSH funciona con TLS
Stupid Meg
¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?
#17 ¿Tendría sentido que cambiásemos todas nuestras contraseñas, o el bug sigue sin corregirse y lo mismo da que da lo mismo?
Tú mismo puedes comprobar si un servidor tiene este fallo con cualquiera de las herramientas que han salido y fuerzan el fallo. Así que yo de ti cambiaría las contraseñas, pero primero comprobando que el servidor ya está corregido.
Por ejemplo: http://filippo.io/Heartbleed/
#17 La gran mayoría de webs importantes afectadas ya han parcheado su versión de OpenSSL, así que no son vulnerables a este ataque. El problema viene de que si leyó algún hacker la memoria del servidor ANTES del parcheo, las contraseñas que hubiesen salido de ahí están comprometidas.
El consejo es cambiar las contraseñas que tengan esencialmente más de una semana en todas partes.
#17 Deberíamos acostumbrarnos a cambiar nuestras contraseñas periódicamente, independientemente de bugs o robos de datos puntuales.
#26 Entre ir cambiando de contraseña y tener una contraseña diferente en cada sitio conseguiremos ser absolutamente incapaces de recordar cómo acceder a cualquier servicio. Nunca he entendido este tipo de consejos, alejados de la realidad de la gente "normal".
#17 Tiene sentido que cambies tus contraseñas periódicamente, independientemente de que este u otros bugs te hayan podido afectar o no