Il giorno 11/apr/2014, alle ore 10:56, Niko Usai <[email protected]> ha scritto:
> >> Poi non capisco sinceramente perché sia difficile estrarre una chiave >> privata di 2K da un leak di 64K. Certo non sarà banale ma se uno ci si >> mette, la becca... > > Il difficile è trovarla in quella zona di memoria che il bug permette di > estrarre, non è che si possa leggere tutta la memoria è un po un terno al > lotto > Rispondo non per flammare, ma perché penso che questo sia un punto importante. "Terno a lotto == Brute force". In due anni, vuoi che se qualcuno ci si è messo di punta, non è riuscito a beccare la private key su qualche sistema? Vedi Apache web server? L'articolo che avevo postato, con un pattern matching della sintassi ASN.1 riesce abbastanza agevolmente a matchare la private key. Magari avrai dei falsi positivi, ma in 2 anni, sono convinto che possiamo anche dare il 99.99% di successo su alcuni sistemi. Poi se mi interessa attaccare una infrastruttura, i server che usano SSL li attacco tutti e se con qualcuno non ho successo, magari con un altro sì ;) > Comunque non vorrei essere frainteso non sto dicendo che la cosa non è seria, > ma solo che l'equazione > > Heartbleed == Leak chiavi private > > non è vera. se accordi sul cambiarla in "non è SEMPRE vera", possiamo convergere. IMHO la vulnerabilità in questione è una catastrofe, perché mina anche la credibilità di un pezzo di codice assai utilizzato. Chi si fiderà più di OpenSSL? sul fatto che vi possano essere delle esplosioni combinatorie di incident di sicurezza, non concordo. I buoi sono scappati dalla stalla. Chi voleva fare cose, le ha già fatte. Adesso ci sarà qualche (e speriamo sia davvero "qualche") "sciacallo" che sfrutterà la cosa nei sistemi non ancora patchati. bye > > Niko Usai > m0gui - Keep calm & code in C > --- > pub 1024D/3BF6890C > Key fingerprint = CEDD 4512 3248 4C9C 2493 FE56 2E55 A884 3BF6 890C > server: pgp.mit.edu > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
