Il 2014-04-14 20:13 Claudio Telmon ha scritto:
On 04/14/2014 04:47 PM, Roberto Resoli wrote:
Joseph Bonneau su "Freedom to Tinker"[1] fa un analogo ragionamento:
"Was/is Heartbleed used for stealing large numbers of passwords?
I doubt it, though this is impossible to rule out and the security
community is still searching for and analyzing evidence of Heartbleed
exploits in the wild. Heartbleed isn’t targeted, so large-scale
password
collection would have required a large amount
of Heartbleed traffic to login servers. ..."
A parte che io personalmente sono abbastanza disilluso sulle cose che
"dovrebbero essere certamente notate", quelle 100.000 query servivano
per recuperare la chiave privata, non generiche password che dovrebbero
essere molto più comuni. E poi, come qualcuno ha già notato, 100.000
query consecutive da un singolo IP sono una cosa, 100.000 query da 1000
Ip distribuite in qualche giornata probabilmente non le nota nessuno o
le scambia per altro.
Sono assolutamente d'accordo; uno può cercare di tranquillizzarsi come
vuole,
ma la vulnerabilità è rimasta aperta per due anni, e non vedo perchè
si debba dare per scontato che chi l'avesse conosciuta avrebbe dovuto
approfittarne
nella maniera più sciocca.
rob
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
