2014-04-15 9:48 GMT+02:00 Roberto Resoli <[email protected]>: > Il 2014-04-14 20:13 Claudio Telmon ha scritto: > >> On 04/14/2014 04:47 PM, Roberto Resoli wrote: >> >>> Joseph Bonneau su "Freedom to Tinker"[1] fa un analogo ragionamento: >>> >>> "Was/is Heartbleed used for stealing large numbers of passwords? >>> I doubt it, though this is impossible to rule out and the security >>> community is still searching for and analyzing evidence of Heartbleed >>> exploits in the wild. Heartbleed isn’t targeted, so large-scale password >>> collection would have required a large amount >>> of Heartbleed traffic to login servers. ..." >> >> >> A parte che io personalmente sono abbastanza disilluso sulle cose che >> "dovrebbero essere certamente notate", quelle 100.000 query servivano >> per recuperare la chiave privata, non generiche password che dovrebbero >> essere molto più comuni. E poi, come qualcuno ha già notato, 100.000 >> query consecutive da un singolo IP sono una cosa, 100.000 query da 1000 >> Ip distribuite in qualche giornata probabilmente non le nota nessuno o >> le scambia per altro. > > > Sono assolutamente d'accordo; uno può cercare di tranquillizzarsi come > vuole, > ma la vulnerabilità è rimasta aperta per due anni, e non vedo perchè > si debba dare per scontato che chi l'avesse conosciuta avrebbe dovuto > approfittarne > nella maniera più sciocca.
Io penso che sia una vulnerabilità grave... ma con tutte le sql injection che ci sono in giro e che mi permettono di ottenere esattamente quello che voglio senza sperare che mi cada in 64K dello spazio di indirizzamento di un processo... con tutti gli zero day che ci sono in giro e ai quali i Cattivoni (TM) hanno accesso, il mondo ha ogni giorno motivo di preoccuparsi. Heartbleed è diventato mainstream, ne parlano i media... ne parla il corriere... ne parla repubblica... ne parla panorama ma alla fine mi spaventa di più una backdoor che può essere stata piazzata in un software commerciale... piuttosto vediamo di dare una mano a rivedere i progetti open più importanti... diamo una scossa alla community. btw sto provando ad exploitare una web app di test mia... a fronte di n login simulati, lanciando più volte l'exploit ho ottenuto garbage. Ovviamente come test lascia il tempo che trova, però ecco... non è di sicuro una cosa "schiocco le dita e mi da vita, morte e miracoli degli utenti che fanno login". IMHO, ovviamente -- $ cd /pub $ more beer Il primo blog di application security italiano morbido fuori e croccante dentro: http://codiceinsicuro.it
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
