¿Todas las implementaciones de SSL / TLS son vulnerables al error Heartbleed? [cerrado]

7

He aprendido la teoría detrás de los protocolos SSL / TLS y su eficacia para lograr una comunicación segura entre clientes y servidores.

¿Todas las implementaciones OpenSSL, PolarSSL, MatrixSSL y Mozilla NSS utilizan la misma teoría subyacente de SSL y TLS? Si es así, ¿significa que el error Heartbleed cambiaría el grado de promesa hacia SSL / TLS?

    
pregunta Michael 31.08.2015 - 19:18
fuente

2 respuestas

21

Si miras el resumen de Heartbleed:

  

El error Heartbleed es una vulnerabilidad grave en el popular OpenSSL   biblioteca de software criptográfico. Esta debilidad permite robar el   Información protegida, en condiciones normales, por SSL / TLS.   Encriptación utilizada para proteger Internet. SSL / TLS proporciona comunicación   Seguridad y privacidad en Internet para aplicaciones como web,   Correo electrónico, mensajería instantánea (IM) y algunas redes privadas virtuales   (VPNs).

     

El error Heartbleed permite que cualquier persona en Internet lea la memoria de   Los sistemas protegidos por las versiones vulnerables de OpenSSL.   software. Esto compromete las claves secretas utilizadas para identificar el   Proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas.   de los usuarios y del contenido real. Esto permite a los atacantes   Escudriñando las comunicaciones, robando datos directamente de los servicios y   usuarios y para hacerse pasar por servicios y usuarios.

Has preguntado:

  

¿Significa que el error de Heartbleed cambiaría el grado de promesa?   ¿hacia SSL / TLS?

No, no lo hace. Puedes ver que es específicamente sobre openssl. Heartbleed fue un error de software, un error de programación. No fue una debilidad en el protocolo SSL / TLS, como por ejemplo CRIME o BESTIA . La lección importante que aprendimos de Heartbleed es que el código debe revisarse antes de su uso. La pérdida de memoria en OpenSSL fue significativa, pero existen errores de programación y existirán en el futuro. Todo lo que podemos hacer es realizar revisiones regulares de código y simplificar / limpiar código (OpenSSL es un poco complicado).

Las otras bibliotecas (en realidad, cualquier pieza de software para el caso) también pudieron tener una fácilmente, la principal amenaza aquí es el error humano, que a veces es difícil de mitigar.

    
respondido por el Lucas Kauffman 31.08.2015 - 19:24
fuente
10

SSL / TLS son protocolos.

OpenSSL es una implementación de estos protocolos. Tiene dos bibliotecas: libcrypto , que implementa un conjunto de algoritmos de cifrado, y libssl , que implementa los protocolos TLS y su SSL anterior.

Si hay un error en la implementación de un protocolo dado, no significa que el problema es el protocolo en sí. HeartBleed es solo un problema heredado de OpenSSL, pero no existe en otras implementaciones TLS / SSL como LibreSSL , GnuTLS , MatrixSSL y muchos otros .

HeartBleed es el resultado de una implementación incorrecta. HeartBleed fue presentado por primera vez por Stephen Henson solo una hora antes de la víspera del año nuevo de 2011. Para ser más precisos, es Robin Seggelmann, quien era entonces un Ph.D. estudiante de la Universidad de Duisburg-Essen que desarrolló la extensión HeartBeat para OpenSSL (HeartBeat ya estaba presente en la especificación SSL2.0) y lo sugirió al proyecto de desarrollo de OpenSSL, Stephen Henson, quien falló (¿alguna vez comprobó?) para encontrar el error y cometió en su repositorio. Otros sugieren que esta vulnerabilidad fue conocida y explotada hace mucho tiempo antes de que se anuncie públicamente.

Stephen Henson siempre ha sido el único desarrollador permanente de OpenSSL. Solo ha habido un revisor que lo ayudó pero no permanentemente. Los otros 11 miembros del proyecto OpenSSL no tienen nada que ver con el desarrollo correctamente dicho. Como puede adivinar, sea lo que sea un desarrollador inteligente, es propenso a cometer errores siempre que se desarrolle solo.

    
respondido por el user45139 31.08.2015 - 19:52
fuente

Lea otras preguntas en las etiquetas