Cloudflare admitió desde un principio que el bug Heartbleed era bastante grave, sin embargo, dijo que robar las llaves SSL de un servidor afectado por el bug sería muy difícil, y casi imposible de hacerlo en los servidores NGINX. Para demostrar lo dicho, crearon un reto que consistían en que investigadores intenten robar sus llaves de cifrado de su servidor, y dicho y hecho, ha sucedido. El CEO de Cloudflare, Matthew Prince, acaba de confirmar que dos investigadores consiguieron robar las llaves de sus servidores usando el bug de OpenSSL.
Comentarios
Recomiendo este otro artículo sobre este tema http://www.jorgedelacruz.es/2014/04/11/zimbra-heartbleed-regenerando-el-certificado-ssl/
Sinceramente hay que ser realmente imbécil, de alardear del fallo de seguridad en tus servidores, aunque incluso fuese puesto adrede para el reto y después quedar como lo primero, porque han conseguido robar las claves SSL.
Salu2
#2 Al contrario, es una estrategia que tiene muchísimas ventajas. Me explico:
Saben que tienen esa vulnerabilidad y que, en caso de haberse podido aprovechar, pueden haber estado filtrando información.
Pero desconocen:
1.- Cuantos de sus sistemas están afectados. Aunque tengan (que lo tendrán) un CMDB, con tantos equipos siempre aparecerán discrepancias.
2.- De todos esos sistemas, en algunos podrá ejecutarse la vulnerabilidad y en otros no (aunque la tengan).
3.- El procedimiento que ha de seguir, o ha seguido, un atacante para hacerse con la información.
Eso se soluciona de dos formas:
1.- Pagando una animalada a empresas de seguridad para que se dediquen a hacer pruebas en todos los sistemas. Y eso necesita de mucho tiempo y recursos.
2.- Lanzando un reto público.
De la segunda forma, conseguirán que se ejecuten miles de pruebas, y obtendrán a cambio cientos de informes, manuales y guías explicando los pasos que se han seguido para obtener las claves SSL, e incluso algún que otro aviso sobre otras vulnerabilidades encontradas.
#3 Lo decía por la prepotencia, por decir que no lo iban a romper, y alardear de ello. Pero lo cierto es que tal como lo dices tienes razón. No en vano lo primero que hay que saber en seguridad es como romper un sistema, para luego saberse proteger.
Salu2
Muy guay, alguno ayer estaba diciendo que eso era casi imposible, o "un acto de fé" y similares, exigiendo que "tertulianos que no tienen ni idea" se retractaran, etc.. o que sin analizarlo pero con un conocimiento profundo de como funcionan los sistemas y la memoria, se atrevían a afirmar que era imposible que se compartiera tal o cual info.. bla-bla-bla
¿Veremos ahora a esas personas retractarse? no creo, ya se oyen excusas por el camino "es que hubo un reboot!" es que... en fin, un no acabar.
Un saludo si alguien se da por aludido ;=)
-
Ahora sobre la noticia, era evidente para alguien que hubiera probado mínimamente los PoC, que eventualmente te encontrarías cosas interesantes en la memoria, desde tickets, cookies, hasta el cert, así tuvieras que lanzar peticiones durante meses (se ve que incluso en bastante menos tiempo)