Unos han usado netcraft, otros zmap, shodan, o una combinación de todo eso, pero los datos siguen siendo estimaciones basadas en los banners que usan los servidores, sin tener en cuenta que el banner puede mentir, o puede haber un proxy en medio que se ocupe de la negociación SSL (es decir, es perfectamente posible que un sitio web alojado en un IIS se vea afectado por usa nginx como proxy inverso), ni han tenido en cuenta el resto de software y appliances que usan la librería.
Pero mi reflexión va un poco más allá, porque realmente los temas de números no me importan demasiado
Voy a hacer una suposición, supongamos que solo tres servidores han sido afectados (que lo han sido): google, facebook y yahoo.
Supongamos
también que el bug solo se ha podido usar unas horas (yo lo he podido
usar más de un día antes de ver sitios enormes parcheados, pero bueno,
supongamos), vamos a poner que se ha podido usar 8 horas, y que solo un
grupo reducido de personas ha tenido acceso a el, que tampoco ha sido el
caso.
Alguien me
podría decir suponiendo todo eso, ¿cual es la probabilidad de que mis
usuarios en esos tres servicios hayan sido afectados? ¿el certificado
SSL ha sido comprometido? durante ese tiempo ¿he podido ser víctima de
un MiTM con ese certificado robado?, si alguien tenía una captura de mi
tráfico cifrado ¿ha podido descifrarlo con ese certificado robado?
¿Importa esta probabilidad?'
'Así que nada, exactamente no se a que viene esta tendencia de reducirlo todo a números y llamar a la calma-pasividad por la probabilidad supuestamente de que haya pasado algo, pero ¿y si ha pasado?, tampoco entiendo que se hable de "solo X servidores" cuando solo uno de ellos tiene las credenciales de 800 millones de usuarios, solo con que yahoo hubiera sido el único afectado, esto seguiría siendo gravísimo.
Total, que esto debe ser la nueva tendencia, es lo que se llama apostar por la seguridad, es decir, pasen señores y hagan sus apuestas a ver si sus datos están afectados o no en este nuevo bug basándonos en estas nuevas estadísticas que tenemos por aquí fresquitas, bienvenidos a la seguridad probabilística.'
¿Importa esta probabilidad?'
'Así que nada, exactamente no se a que viene esta tendencia de reducirlo todo a números y llamar a la calma-pasividad por la probabilidad supuestamente de que haya pasado algo, pero ¿y si ha pasado?, tampoco entiendo que se hable de "solo X servidores" cuando solo uno de ellos tiene las credenciales de 800 millones de usuarios, solo con que yahoo hubiera sido el único afectado, esto seguiría siendo gravísimo.
Total, que esto debe ser la nueva tendencia, es lo que se llama apostar por la seguridad, es decir, pasen señores y hagan sus apuestas a ver si sus datos están afectados o no en este nuevo bug basándonos en estas nuevas estadísticas que tenemos por aquí fresquitas, bienvenidos a la seguridad probabilística.'
Fuente y texto completo: El Blog de David Carracedo 16/04/2014
- [15/04/2014] [El Mundo] 'Un grave fallo amenaza las comunicaciones seguras en Internet' [Fallo de OpenSSL 1.0.1 que puede permitir robar claves privadas de certificados de sitios web]
- [15/04/2014] Comunicado de InterSystems acerca del bug de OpenSSL
- [15/04/2014] infoBAE] 'El gobierno de Canadá, la primera víctima de Heartbleed'
- [16/04/2'14] [INTECO] 'Heartbleed ¿desmitificado?'
Entradas
No hay comentarios:
Publicar un comentario