Secondo [Schneier Heartbleed è una catastrofe][1] di proporzioni titaniche. Ed io sono d’accordo, esattamente per i suoi stessi motivi.
L’attacco che tutti conoscete ormai consente di recuperare porzioni di memoria arbitrarie, comprese quelle in cui sono custodite le chiavi di cifratura stesse.
> Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. This means that anything in memory — SSL private keys, user keys, anything — is vulnerable. And you have to assume that it is all compromised. All of it.
Schneier [lo definisce][1] “Catastrofico: in una scala di gravità tra 1 e 10 è un 11”. E stavolta sono d’accordo.
Sono d’accordo perchè una serie di governi in giro per il mondo hanno avuto acceso alle chiavi private SSL di quasi tutti i più importanti portali del mondo. Se unite a questo il fatto che molti di questi, sappiamo, memorizzano traffico in “attesa che si riesca a decifrare”, beh, hanno appena fatto bingo.
A meno che si pensi (ahahahhahahaha) che sia una vulnerabilità che ancora non conoscevano.
Per maggiori info:
* L'[articolo completo][1]
Estote parati.
[1]: https://www.schneier.com/blog/archives/2014/04/heartbleed.html
