Para que ocurra un ataque de Heartbleed y para que alguien tome la clave privada SSL e incluso espíe, tiene que estar en la red local con un enrutador, switch o servidor, ¿correcto?
¿O se puede hacer esto a cualquier servidor directamente a través de Internet? Siempre pensé que el rastreo de paquetes tenía que hacerse localmente
Heartbleed no tiene nada relacionado con la detección de paquetes para que la vulnerabilidad funcione. Está explotando un error de desbordamiento de búfer que luego accede a la memoria del servidor. Una solicitud de latido normal sería como
Usuario: solicite al servidor que responda "Hola"
Servidor: responde "Hola"
Ahora, después de explotar el desbordamiento de búfer
Usuario: solicite al servidor que responda: parte de su memoria almacenada
Servidor: respuesta: memoria almacenada que puede contener clave privada, contraseña y los datos almacenados en su memoria.
En resumen, Heartbleed roba la información pero envía una solicitud anormal al servidor para que devuelva parte de sus datos de memoria en lugar de simples paquetes de "Hola".
Lea otras preguntas en las etiquetas tls heartbleed packet sniffer snooping