EDICIóN GENERAL
369 meneos
7519 clics
El antiguo director de seguridad de Microsoft, detrás del heartbleed.com

El antiguo director de seguridad de Microsoft, detrás del heartbleed.com

El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL...

etiquetas: heartbleed , microsoft , schmidt
Comentarios destacados:                        
#3 #2 se lo puedes perdonar, es novato en esto de menéame :-P
Vía twitter.com/stimpyjaycat/status/453974703494135808, relacionados: www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
twitter.com/keyist/status/453388980545810432

Parece toda una campaña orquestada para desacreditar a openssl, y muchos periodistas y bloggers cayeron en la trampa por el sensacionalismo (como el de "Dos terceras partes de Internet en peligro" y cosas similares).
#1 si la noticia está en inglés deberías añadirlo en el titular, es una costumbre más que una norma, yo suelo ponerlo entre corchestes [EN] aunque la opción más común es (EN), nunca pongas (ING) que saltan los chistes.
#2 se lo puedes perdonar, es novato en esto de menéame :-P
#3 nunca he entendido muy bien el emoticono de la lengua, ¿qué significa?
#5 que la chupo a cambio de karma :-P
#5 Que está haciendo coña. Es una ironía.
#18, ¿es el nuevo </ironic>? creía que los valientes no gastaban de eso.
#19 Algo así. Pero da otro sentido. Digamos que está haciendo un chiste. No tiene porque ser una ironía.
#2 #5 Sheldom, eres tu?
#1 leo tus enlaces y me parece bastante grave... Veo lógico el revuelo. ¿Qué es lo que te hace llamarla sensacionalista?
#28 sinceramente la vulnerabilidad es muy grave.

Que los medios digan tonterias, no es nuevo, y que "en rio revuelto...", tampoco.

Pero por favor no minimicemos la vulnerabilidad.
#28 #29 Cualquiera que se halla puesto a trastear con la vulneravilidad y los distintos exploits que pueden encontrarse, se da cuenta que hay mucho "sensacionalismo" en este bug, dumpear la memoria del servidor y conseguir la "first key" es casi un acto de "fe", lo unico que se consigue es capturar basura de ejecutaciones temporales y alguna que otra sesion que no sirve de nada porque, o estan imcompletas, o estan caducadas.
#29 cómo dice #31, no se trata de minimizar la vulnerabilidad, lo cual es discutible, sino de la campaña que se ha montado contra la seguridad de los servers en internet. Hoy leía el titular: Millones de contraseñas de internet al descubierto (portada escrita de elpais.es)...
#1 Bruce Schneier califica en bug de "catastrófico" y "en la escala de 1 a 10 es un 11" (www.schneier.com/blog/archives/2014/04/heartbleed.html). Que los periódicos equivoquen los números (66% de servidores Apache != 66% de servidores vulnerables) es la mala prensa de siempre. Pero la realidad de la vulnerabilidad es que un atacante puede leer bloques arbitrarios de la memoria del servidor atacado, sin dejar rastro, en cerca de medio millón de servidores afectados. Es un desastre, no una campaña de desprestigio.

#32 Y es verdad. Lo más sensato es asumir que la vulnerabilidad fue explotada, y que todas las contraseñas de Yahoo y Twitter (entre otros sitios grandes), fueron vulneradas.
#34 Claro que es catastrófico el bug, pero no es cierto que "dos tercios de los servidores en Internet esten afectados" como salió en algunos medios, por ejemplo www.elmundo.es/tecnologia/2014/04/09/53450b9b268e3e9f128b456e.html

Un gravísimo agujero de seguridad compromete a las dos terceras partes de Internet

Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs

También contraseñas y números de tarjeta de crédito, correo y mensajería en

…   » ver todo el comentario
#57 Pero ¿qué dices?

Todas las vulnerabilidades se encuentran "a posta", no se descubren solas, todas tienen a un equipo detrás que busca la vulnerabilidad, lo comunica (o no) y la explota, y mejor que sea así y lo comuniquen, porque la alternativa es que hubiera un grupo más o menos reducido de personas explotando esto durante años y ni dios se daría cuenta jamás.

Igual ahora esta vulnerabilidad por el simple hecho de que la ha descubierto un tipo que tenía relación con Microsoft…   » ver todo el comentario
#58 No hables cagadas, en serio, el bug lo descubrió un ingeniero de Google, que lo notificó a OpenSSL. Los de la web heartbeat no descubrieron nada.

Y aunque lo hayan hecho, no es la forma ética (ni acostumbrada) de hacerlo. Pero sí que registraron el dominio y hasta hicieron un logo para publicarlo.
#60 Siempre tan educado tu :-) ya ni te contesto

#62 Ok, pues se subieron al carro y le dieron bombo, ¿esto hace menos grave el bug? ¿dónde esta el sensacionalismo?

Repito, yo antes de parchear mis servidores, estuve jugando un poco con algún POC, etc, y saqué credenciales válidas, cookies, etc, igual que yo, miles de personas lo han podido hacer en servidores importantes de verdad (vease yahoo) que guardan credenciales de millones de personas, y lo han podido hacer ni se sabe cuanto…   » ver todo el comentario
#71

> Siempre tan educado tu :-) ya ni te contesto

Decir que "hablas cagadas", cuando te demuestro que lo haces y dices cosas falsas, no lo veo de mala educación. A menos que te moleste la palabra "cagadas", entonces la cambio por "tonterías". Pero te repito: respondiste con tanta autoridad sin siquiera documentarte.

Es la arrogancia de la ignorancia, que se ofende luego por una palabra. Normal, suelen tener los puños de hierro y la mandíbula de cristal.
#73 Es que soy parte de la campaña orquestada esta para desprestigiar proyectos de software libre.

Por otra parte, la arrogancia y la ignorancia es lo que dices en #75

"sin haberlo analizado, pero es conocimiento básico de cómo funciona la gestión de memoria en los sistemas operativos modernos)"

Que perfección, que sabiduría, pero incluso expertos en el tema erraron en sus precipitados análisis precisamente por hacer suposiciones de cómo funcionan las cosas sin haberlo mirado y…   » ver todo el comentario
#77 al contrario, todo esto pinta de que es un campaña precisamente para sacar al aire la mierda.

En este articulo se explica con detalle hasta que punto es peligroso:
www.elladodelmal.com/2014/04/heartbleed-y-el-caos-de-seguridad-en.html

aunque no aborda el tema de los móviles

Por otro lado Google sabia del fallo desde Diciembre de 2013, por lo que la teoría de gallir sobre la rapidez de una campaña de desprestigio del software libre no tiene ningun sentido.

Ademas el…   » ver todo el comentario
#78 "Ademas el razonamiento es ridículo, porque la NSA controla en realidad las distribuciones Linux y las principales distros están todas trajinadas: "

Pues a usar OpenBSD y a vivir feliz.
#86 ¿ein? el OpenBSD ya se vió que fue trajinado por el FBI y con toda seguridad la NSA:

www.trollaxor.com/2013/07/why-i-abandoned-openbsd-and-why-you.html
www.linuxjournal.com/content/allegations-openbsd-backdoors-may-be-true


no existe sistema público que no esté infiltrado.
#89 "trollaxor". Sí, buenas fuentes.

NO fué trajinado por el FBI.
#93 Arstécnica y demás... amarillista.


Yo no veo que con estos escándalos se desarrollen nuevos cifrados, protocolos de seguridad en la fabricación, etc... ¿Tu si?. ¿Donde esta esa comunidad desarrollando nuevas cosas?. Esa comunidad está totalmente infiltrada como se ve en todos esos episodios. Universidades, individuos... todo. "


Y yo estoy suscrito a las listas de correo de OpenBSD y sé lo que se cuece, y Theo dejó BIEN CLARO que no hay backdoor alguno.

De hecho los pasos de Release a Stable 5.4 -> 5.4.1 pasan por compilar el codigo fuente sí o sí (o bajar updates de M:TIER, compañía que da soporte a OpenBSD) .
#93 "joer, si hasta tienen montado un servicio por catálogo para los empleados. Se entiende que es jodida la sensación de que la seguridad del software libre es también una tomadura de pelo, pero contra antes haya esa consciencia mucho mejor. Eso si es que tiene algún arreglo, claro. "

Tu instálate OpenBSD, suscríbete a las listas de correo, y si tienes que mirar el código fuente, lo miras, pero te dejas de gaitas, que al menos hasta el creador del BSD ha especificado como y donde…   » ver todo el comentario
#78 Por cierto, Assange sabe bastante, fué creador del paquete Surfraw para GNU/Linux.
De la pagina heartbleed.com/
Is there a bright side to all this?
For those service providers who are affected this is a good opportunity to upgrade security strength of the secret keys used. A lot of software gets updates which otherwise would have not been urgent. Although this is painful for the security community, we can rest assured that infrastructure of the cyber criminals and their secrets have been exposed as well.

xD xD

Y ahora hablamos en si esta…   » ver todo el comentario
#60 sin embargo parece que heartbleed.com fue registrado días antes del anuncio de OpenSSL, y según ellos el plan era avisar a los distribuidores de forma responsable pero la información salió a la luz antes de lo previsto:

seclists.org/oss-sec/2014/q2/34

seclists.org/oss-sec/2014/q2/49
#57 Admito que el enunciado puede dar lugar a confusión para alguien que no entienda del tema, pero de ahí a decir que ponen datos falsos a propósito va un trecho. En la respuesta a "How widespread is this?" simplemente listan el tipo de software que se puede ver afectado, incluso dicen en el propio párrafo que la elección de versiones más antiguas hace que muchos sitios no sean vulnerables. En el párrafo siguiente listan claramente las versiones de OpenSSL y distribuciones que no…   » ver todo el comentario
#90

> Admito que el enunciado puede dar lugar a confusión para alguien que no entienda del tema, pero de ahí a decir que ponen datos falsos a propósito va un trecho. En la respuesta a "How widespread is this?" simplemente listan el tipo de software que se puede ver afectado

Lo que es absurdo, es como encontrar una mutación de virus de la gripe mortal y decir que pueden estar afectados 7.000 millones de personas. Es algo que no aceptaríamos en medicina, no sé por qué nos parece normal en informática/seguridad.

Quizás una pista: demasiados cheerleaders en el mundillo.
#94 No, lo que es absurdo es que se encuentre una mutación de virus de la gripe mortal y a pesar de que muera gente, insistir en lo beneficioso que es eso para las farmaceuticas, y que hay un tipo de un laboratorio implicado en el descubrimiento, y etc.. oh wait, es que esto también se ha hecho, ahora veo que hay versión informática de la monja de las vacunas
#95 ¿y quién ha dicho eso? Porque si sugieres que lo he dicho o defendido yo, avisa, que ya mismo te ignoro para no seguir leyendo estupideces de semejante calibre.
#96 Pues en #1 sin ir más lejos

"Parece toda una campaña orquestada para desacreditar a openssl, y muchos periodistas y bloggers cayeron en la trampa por el sensacionalismo "

o en #0

"El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL"

o en #57

"1. En heartbleed se monta una campaña con datos falsos (lo de los 2/3 de servidores de internet afectados) sin…   » ver todo el comentario
#97 O sea, dices una cosa, que no confirmas, y sigues con lo mismo, como si yo hubiese dicho que el bug no es grave (y cuando no sabías ni quién lo descubrió), y ahora afirmas que defiendo a OpenSSL... toma:

twitter.com/gallir/status/454355417037275136

Y lo que dice en ese comentario que recomiendo leer:

OpenSSL is not developed by a responsible team.

Y ahora sí, al ignore.
#98 En fin, vaya forma de razonar xD que tienes ¿8 añitos?, afortunadamente lo que uno dice queda escrito, y solo tengo que citarte para ver lo que ha dicho cada uno.
Saludos
#94 ahí lo que dice es que OpenSSL es el software que usan Apache y nginx, y después da datos de la popularidad de esos servidores. En ningún momento dice que el 66% de los servidores web sean vulnerables a ese bug, esa es tu interpretación.

Además dice claramente qué versiones están afectadas y cuáles no, incluyendo las fechas.

Si yo digo que se han encontrado restos de carne de caballo en ciertos productos de Findus, que Findus es una marca popular porque la distribuye Tesco, que es la cadena mayoritaria en UK con un 30% de la cuota de mercado, tú no concluyes que el 30% de la carne que se vende en UK tiene restos de caballo.
#100 No solo eso, sino que no tiene en cuenta los servers no-apache y no-nginx, pero que son afectados igual
Ejemplo proxy inverso, explicado por ejemplo :
www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
(te contesto a ti solo porque como al que le interesaría más saber esto me ha ignorado.. sigh..)
El primero que encontró esta vulnerabilidad fue uno de Google, y se le asignó un CVE. Despues estos de Codenomicon se subieron al carro, abrieron otro CVE, e hicieron hasta un dominio, pero realmente el mérito es del empleado de Google.

#58 Yo no estoy de acuerdo con que todas las vulnerabilidades se encuentran "a posta", en muchos casos han aparecido sin buscarlas.
#57 Yo lo estoy flipando con todo esto. En mi trabajo, los jefazos (que no tienen ni idea) han entrado en pánico, y es el tema monotemático de conversación, por mucho que les diga que los servidores están debidamente parcheados y securizados.

El daño ya está hecho, solo hay que ver algunos comentarios apocalípticos de esta noticia. (Que por cierto me gustaría saber a que se dedican)
#55 ¿Y todos esos usan Heartbeat? Lo dudo (#57)
#64 Para corregir el fallo, primero debes sufrirlo. De yahoo ya puse cómo sacaron contraseñas en claro.
#65 ??

¿Pero estamos hablando de este bug o de otros posibles fallos de seguridad?
#66 ¿a qué te refieres? ¿a lo de las contraseñas de yahoo? sí, fue por culpa de heartbleed
#68 ¿Pero eso que tiene que ver con #64?

Hay un fallo de seguridad, sí. Ya está corregido. Antes de corregirlo, a más de uno le han pillado en bragas, vale.

¿Qué tiene que ver lo que pongo en #64 con que dudo que todos esos dispositivos tengan un agujero de seguridad? Por no contar con que ya estarán desplegándose los parches en móviles también... De hecho, creo que por ejemplo iOs no se ha visto afectado (todos los iCosas). De Android no lo sé, supongo que dependerá de la versión.
#69 En #64 dices "todos esos" sin aclarar si te refieres a los móviles o a los servidores de twitter, yahoo... entonces creí que hablabas de los servidores.

En cuanto a los móviles -> #56

P.D: están sacando actualizaciones, sí, pero están o estuvieron afectados y lleva ahí el fallo dos años en el que pudo ser explotado. También, sacan actualizaciones ¿cuántos van a actualizar? ¿cuánto tiempo tardará? no es tan fácil como sacar actualizaciones y todo resuelto.
#63
security.stackexchange.com/questions/55119/does-the-heartbleed-vulnera

#57 muy cutre presionar a esa periodista que además es histórica y con ayuda de los fans mentecatos. Ella no es una técnico y sólo ha escrito cifras en línea con lo que circulaba hasta la fecha. Y no ha escrito ninguna barbaridad.

Afecta a casi todo lo que viaja cifrado en Internet, como accesos seguros a webs
También contraseñas y números de tarjeta de crédito, correo y

…   » ver todo el comentario
#74 Nadie la "presionó", y todo el que escribe en público debe estar sujeta a la crítica pública (a la que se le explicó y contestó con "troll" y "vago". Punto, no hay nada mas.

Sobre la noticia, el titular es erróneo, y lo de la memoria ya fue explicado y matizado, por ejemplo blog.erratasec.com/2014/04/why-heartbleed-doesnt-leak-private-key.html

Private keys are still not so likely to be exposed, but still much more likely than my original analysis

…   » ver todo el comentario
#82 -> #57 o #75


Hasta arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens- dio esos números erróneos (Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping) y súper inflados, y para esto no hay excusa, por más grave que sea el bug.
#83 Arstecnica es bastante amerillenta. Te enteras mejor por las listas de correo de OpenBSD (tienen la seguridad codo con codo, como ya sabrás) y Slashdot.

Aquí hay bastante información:

thread.gmane.org/gmane.os.openbsd.misc/211952/focus=211963
Uy si, esto es supersensacionalista, un bug que permite a cualquiera leer memoria de un server remotamente y sin dejar ningún tipo de rastro (aunque esto último es un poco discutible, porque ayer estuve jugando con un honeypot que imita el bug y parece bastante efectivo registrando los atacantes y discriminando los que no lo son)

Total, super-sensacionalista, apenas se pueden ver cookies, sesiones, datos del server, datos de otros vhosts en el mismo server, credenciales en claro, etc..

#31 Si…   » ver todo el comentario
#4 ¿Dónde está el sensacionalismo? o lo que es lo mismo ¿qué de lo que dicen no es cierto? ¿quizás el porcentaje de los afectados?

#31 A yahoo le capturaron usuarios y contraseñas en texto plano: blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/ (al final del artículo)
www.genbeta.com/seguridad/heartbleed-otro-fallo-extremadamente-grave-e (casi al final)
#54 no le hagais caso a este tipo que no sabe lo que dice. Es un agujero muy grave.

Afecta tanto de servidor a cliente como de cliente a servidor. Todas las versiones de OpenSSL inferiores a la 1.0.1g están afectadas.

Eso también incluye a los móviles tanto Android como IOS. Aunque el sistema no lleve OpenSSL (como IOS) puede haber sido instalada por terceras aplicaciones.

El caso de Android 4.1.1 con Chrome es casi seguro. El 4.2.2 no, pero siempre depende de las aplicaciones.…   » ver todo el comentario
#56 Las versiones afectadas son de la 1.0.1 a la 1.0.1f. La oldstable 0.9.8 no está afectada.

¿Podrías poner fuentes fiables de lo de Android?¿En que te basas para afirmar eso de que los clientes también son vulnerables?
#61 Efectivamente, el bug no facilita una escalada de privilegios.
#1 y que pasa con los móviles y las tablets, figurín. Hay 7.300 millones de móviles. El 55% en el 2013 eran smartphones. La extensión se usa para mantener el keep-alive, hacer push y evitar la renegociación. Cientos de millones de Android e IOS están afectados directamente o por la instalación de apps de terceros.


#30 uy si... la tecnología es el nuevo dios que piensa por su cuenta y resistirá al humano xD
#51 No solo son servidores -> #46

Y dentro de los servidores hay que ver qué servidores estaban afectados. Si tu empresa es pequeña como si tienes todos los servidores afectados pero dicen que Twitter, facebook, google y yahoo ya han corregido el fallo, por tanto estaban afectados ¿cuánta gente usa esos servidores? muchos.
#50 Creo que no has entendido nada.
"Decir 2 terceras partes es exagerado"

Lo es. De los cerca de diez servidores que administro, sólo dos tenían este fallo de seguridad.

"el fallo de seguridad no es tan grave, porque quien lo sacó trabajó para Microsoft".

La segunda parte de tu frase, a partir del "porque", te la has sacado de la manga directamente.
#1 Sinceramente la noticia me parece sensacionalista a mas no poder.

El bug existe, es muy muy grave y esta muy extendido (como minimo un 20% de los servidores, segun otros un 60%), asi lo hubiera anunciado el actual equipo de seguridad de Microsoft en persona (y no un ex-empleado) a bombo y platillo el dia de lanzamiento de Windows 8, eso no cambia en absoluto la existencia, ni la seriedad del bug.

Me parece mucho mas FUD la campaña que se esta creando en contra del descubrimiento y campaña…   » ver todo el comentario
#82 Desde cuando existe incompatibilidades en la ciencia o la ingenieria

Precisamente, en investigaciones científicas es donde más se tienen en cuenta los conflictos de interés: ccnmtl.columbia.edu/projects/rcr/rcr_conflicts/foundation/
Para evitar que el interés del investigador por llegar a una determinada conclusión sesgue el resultado de la investigación. Por eso mismo se intentan evitar a priori los conflictos de interés para no tener que justificar a posteriori que el…   » ver todo el comentario
@gallir has visto la noticia sobre esto en la portada de El País? Sensacionalista no, lo siguiente...
#4 sí, y eso que esta tarde me llamaron y les expliqué (me citan por allí abajo).
#10 #6 qué rápido suben tus noticias @gallir :-) qué alegría, cómo se nota que no sufres a los censores ;)

...espera que mande una de futbol...
#11 por cierto, no entiendo ni papa de la que está en inglés, dónde pone lo de la entradilla? si no fuera porque es de #0 pensaría que es microblogging :-D
#11 voté negativo por error :-/
#11 ...espera que mande una de futbol...

... con balones de grafeno ...
#10 supongo es algún tipo de ironía que no entiendo puesto las noticias que ha enviado y que no han llegado a portada, por tener negativos, se pueden ver de una forma fácil:

www.meneame.net/user/gallir/history

Al igual que le he visto algún comentario con más negativos de los que te están poniendo a ti.
#4 se puede enlazar por lo menos en los comentarios? podemos freirlo a negativos si queréis, pero así lo podemos ver, este? tecnologia.elpais.com/tecnologia/2014/04/09/actualidad/1397027162_2938
Sabemos quién es, pero nadie es infalible, Dios no existe, (creo).
#0 ánimo, que con un par de votos más la ponemos en portada con menos clics que la web del teletexto :troll:
Vamos a darle un poco al Tor, que va muy flojo de clics
¡Bing! ¡portada! jajajaja que grande 8-D todavía tiene menos clics que la mía www.meneame.net/story/parasito :-D
#16 Tío, no espamees :-P
mmm evidentemente que dicha página sea la que esta siendo citada como referencia entre los profesionales del ramo tampoco influye... que la prensa no se entera pero la información de la página, la verdad, no esta mal para poder ampliar lo que se indica en la CVE.
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"


iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
#23 rel: www.securityfocus.com/archive/1/531779

Following up on the CVE-2014-0160 vulnerability, heartbleed. We've
created some iptables rules to block all heartbeat queries using the
very powerful u32 module.

The rules allow you to mitigate systems that can't yet be patched by
blocking ALL the heartbeat handshakes. We also like the capability to
log external scanners :-)

The rules have been specifically created for HTTPS traffic and may be
adapted for other protocols;

…   » ver todo el comentario
#24 Un poco hardcore la solución pero bueno.
A ver, la voto positiva porque creo que efectivamente debería haberse declarado el conflicto de intereses. Pero ojo con convertir un conflicto de intereses en un ad hominem circunstancial.
Y las otras pruebas que ofrece el artículo son bastante circunstanciales también: que registraron un dominio .com y que el anuncio coincidió con el fin del soporte de Windows XP.
¿Realmente creéis que es una campaña para desprestigiar a Linux? ¿Cuántos medios no especializados han citado a Linux en su noticia?
Por supuesto no estoy defendiendo la forma en la que los medios generalistas dieron la noticia, eso ya lo sabéis algunos. Pero las evidencias que cita el artículo para defender que exista una mano negra no me parecen concluyentes.
#26 Tu comentario es uno de esos casos en los que desearía que existiera un voto doble para darte más karma.
#52 Hazte un clon ;-P
Pues sin duda nos ha hecho un gran favor a todos, gracias Microsoft, has hecho las plataformas abiertas más seguras.
Pues si es un ataque contra Linux les ha salido al revés. En menos de 24 horas ya había parches para todas las distros. Ahora que venga Microsoft o Apple y consigan cerrar un agujero así tan rápido.
#33 y por qué no iban a poder cerrar un bug así de rápido? Pregunto vamos, porque no veo la relación.

A menos que tengan más "burocracia" y pasar un testing automático y manual más férreo para asegurar que no se han introducido regresiones al corregir el bug, no veo por qué no iban a poder...
#35 Bueno, la comunidad del software libre tiene dos ventajas respecto a una empresa privada:

1.- Más mano de obra. Tanto a la hora de testear como a la hora de parchear y generar los paquetes. Los tests son mucho más rápidos si consigues que 100 personas prueben tu parche (y en una vulnerabilidad así, conseguir 100 testers es calderilla) que si tienes a menos personas probando en diferentes plataformas (32 bits, 64 bits, diferentes versiones del SO, etc...).

2.- No hay horarios. Y con esto…   » ver todo el comentario
#36 Entiendo y te doy la razón en la parte del software libre, sobre todo la parte de que software libre tiene menos "costes" en el testing, pero sigo sin entender por qué una empresa del calado de microsoft o apple no iban a poder sacar un parche en menos de 24 horas. Entiendo que una pyme de 15 personas tenga "problemas" en parchear en un sólo día si quiere pasar un testing férreo... pero Google, Microsoft o Apple no son ninguna pyme de 15 personas....
#42 sigo sin entender por qué una empresa del calado de microsoft o apple no iban a poder sacar un parche en menos de 24 horas.

No te digo que no, pero si lo sacan en 24 horas será menos testeado y menos revisado que el que ha salido para este bug.

Yo lo veo bastante claro. Ninguna empresa privada de software tiene ahora mismo una capacidad de trabajo instantáneo como la comunidad del software libre. Esto es: no pueden coger a tanta gente de tantos perfiles diferentes para trabajar en una sola cosa en tan poco tiempo.

Solo tienes que buscar las comparativas entre cuanto tarda Microsoft o Apple en solucionar un bug y cuánto tarda por ejemplo Debian.
Por lo visto el código de OpenSSL es una chapuza tras otra:

twitter.com/OpenSSLFact
#37 que sea o no una chapuza no justifica esa política de meter miedo a la gente en plan "diario de la noche" de algunas empresas

Por cierto esta técnica es tan usual que se llama FUD (fear uncertainty and doubt)
Después de leerme los comentarios, leer el post en inglés (es inglés técnico muy muy fácil) y de ver la página de los susodichos descubridores del bug, debo decir que sí es blanco y en botella.

Logo con un diseño supercuidado, página muy flat, en blanco, con zonas resaltadas que sí interesan y orientadas a la memoria visual, todas las distro que sufren el bug mencionadasy las no afectadas puestas de una manera que parece que son sino culpables prácticamente culpables. Vamos si le añades que el…   » ver todo el comentario
La verdad es que la vulnerabilidad tiene bastante chicha y que la han dado a conocer como ie de un grandísimo evento en internet se tratase, que lo destruirá todo tal y como lo conocemos. Mi opinión es que se ha vendido como que va a tener unas consecuencias mucho más graves de las que realmente serán, vale, pero esa vulnerabilidad existe y bien es cierto que no es pequeña. Y eso es así lo diga Agamenón o su porquero, que también este artículo parece dar a entender que todo es una conspiración judeo-masónica contra Linux y no deja de ser un problema que es cierto.
Oh, Dios mío! Se ha descubierto una vulnerabilidad en mi software desarrollado por la comunidad, hecho por millones de ojos y manos, bendecido por el Espíritu Santo y por lo tanto libre de bugs, vulnerabilidades, vello facial y olor corporal!! ¿De quién será la culpa?

Por supuesto, de Microsoft. A mí el coche no me arrancó esta mañana y la culpa también era de Microsoft.

:palm:
Bueno, será sensacionalista, pero exagerado no, este agujero de seguridad te compromete absolutamente todo el servidor.
La vulnerabilidad era muy grave, pero sólo afectaba a los servidores Linux con el OpenSSL más reciente. Los administradores de sistemas oldstable aún tenemos el OpenSSL 0.98 que no era vulnerable.
Por otro lado me la suda si Microsoft intenta criticar los programas de código abierto.
Vulnerabilidades hay en todas partes y una empresa como dinero a espuertas como Oracle tarda meses en arreglarlas.
#45 que no hombre... Por ejemplo el Android 4.1.1 con Chrome seguramente está afectado.
Relacionada:

OpenSSL is written by monkeys (2009)
news.ycombinator.com/item?id=7556407
Para mí el fallo es gravísimo. Es decir poder leer 64 KB de datos aleatorios, valga que no leas nada interesante, como que leas las contraseñas u otros datos personales de los usuarios.

Salu2
Yo, sin encuentran una cinta de la Orquesta Mondragón en las oficinas de Microsoft, me lo creo.
Solo veo que existe un problema serio en Internet debido a OpenSSL. Unos se lucran de él con amarillismo y sensacionalismo, otros, intentar restar importancia a un problema que puede ser grave basados en la mala intención de algunos. Mientras unos y otros desvían nuestra atención, el problema continúa.
«12
comentarios cerrados

menéame