PplWare Mobile

NSA pode ter sabido do bug Heartbleed antes deste ser público

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Pedro Sá says:

    Só é estranho não saber do avião..

  2. lmx says:

    pois a falha é conhecida desde pelo menos 2012…embora que de forma discreta, eu já tinha ouvido falar dela…imagino a NSA 😀

    Claro que tiraram proveito da mesma, mas isso é evidente…então quem tem comportamentos obsessivos em espiar os outros, então tendo uma borla não a usa?? claro que sim…!!

    Mas eu começo a ver um padrão na criação de erros e posterior detecção(ou oficialização) de erros e correcção…que me começa a preocupar no openssl…

    Dá ideia que há erros que são propositados,e só depois de algum tempo são corrigidos…epá pode ser a minha visão das coisas…mas tendo em conta aquilo que se vai tornando publico sobre a devassidão americana…começo a ver demasiadas coisas a funcionar de uma forma pelo menos estranha…é que favorecem sempre estas agências…demasiadas coincidências.

    • Nunes says:

      parece estranho que tu já soubesses da falha! Não estarás a confundir com a extensão que deu nome ao bug, que apareceu em 2012!

      • lmx says:

        A falha já existe até desde 2011, mas eu tive conhecimento dela a mais de um ano…não sabia era o que era detalhes técnicos…porque não aprofundei…

        Até pensava que dada a gravidade, já tinha sido corrigida…mas só agora foi corrigida…

        “Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.”

        • lmx says:

          como vês está disponível ao publico desde 2012…

          • Johnny Bravo says:

            O bug está disponível desde 2011. Mas a falha foi tornada pública há pouco tempo. Prova disso é que a Google apenas corrigiu o problema nos seus servidores à umas semanas.

            Por isso estás certamente a confundir com a extensão (ou então devias ter contado ao resto do mundo que a falha existia, já que mais ningúem, à excepção da NSA sabia da sua existência).

          • lmx says:

            o problema só foi corrigido agora…porque só agora saiu a correcção…

          • lmx says:

            johny…

            a falha existe desde 2011, foi quando foi criada…passou a estar acessível no software em 2012…e em 2014(OpenSSL 1.0.1g)saiu a correcção para a mesma…

            eu não sei mais que ninguém…simplesmente já tinha ouvido falar deste problema a bastante tempo..não conhecia era a gravidade do problema…

            Nestas coisas há muita burocracia…repara que antes de fosse aberto um bug report oficial…enfim…eles primeiro vão tentar descobrir se a falha é real, e tentar reproduzi-la…enquanto não conseguirem …não há bug oficial…

            A versão 1.0.1 do openssl usa a extensão hertbeat…ou melhor deveria usar, porque não usava correctamente(esse é que é o verdadeiro problema… a implementação tls 1.1 2 1.2) desde a 1.0.1 até á 1.0.1g, agora passou a usar correctamente…quer dizer que qualquer individuo podia ter acesso a todos os dados, etc…

            Se juntares a isto que pelo menos apache e nginx usam por defeito esta ferramenta, sendo que 66% pelo menos da internet a usa…imagina a loucura que foi…

            Conclusão…já todos podem ter visto o que não deviam…e os certificados teem que ser emitidos novamente, porque deixaram de ser confiáveis, grande negócio para os certificadores…

            Este bug foi aberto como CVE-2014-0160 estranhamente tornado oficial apenas em 20131203, embora existam outros relacionados…este foi o primeiro oficial, portanto todos se referem a ele…

            mesmo que não se conhecesse o bug…epa 4 meses(desde 2013-12) numa coisa desta natureza era uma iresponsablidade!!!

            Se eles queriam lançar uma versão com suporte a mais features, deveriam ter testado primeiro se elas eram utilizadas, e a serem se estavam a ser correctamente usadas, e depois libertavam o software para o publico, mas aconteceu ao contrario…a pressão de competirem com GNUTLS dá nestas coisas…

            Pior é que gozavam com o GNUTLS, por causa de 1 bug, e de outras coisas do passado…mas foram capazes de lançar um software que dava a ideia de segurança e não tinha nenhuma…!!

            Parece que engoliram em seco, eles e pelo menos 66% da internet…ou seja de todos nós…

        • Nunes says:

          A falha existir publicamente desde 2012 não significa que houvesse conhecimento generalizado da mesma, isso nem faz muito sentido dada a reacção que houve agora!
          Não será que estás a confundir com alguma outra coisa? Como um bug nesta extensão, não relacionado com a falha actual? Aliás esta falha, pelo o que percebo, é um somatório de bugs!

          • lmx says:

            sim é um somatório…

            a falha foi criada em 2011, e sendo que a versão 1.0.1 saiu para o publico…ficou disponível para todos em 2012, e saiu a correcção em…2014, mas atenção…apenas na versão 1.0.1g, todas as anteriores são afectadas a partir da versão 1..

            O problema é o mesmo, com a implementação dos protocolos tls, a forma como o openssl lida com esta extensão não era a melhor e pelos vistos não corria bem, permitindo…aquilo que todos já sabemos…independentemente de onde estejas…conseguias aceder aos certificados, passwords, users, etc,etc and so on…de uma forma directa…épa isto é demais, isto prova que não houve controlo sobre o que estavam a lançar…aliás…com esta falha até era possível fazer ddos em larga escala tipo ntp 😀 um abuso!!

            a ideia que tenho é que houve revisão de código quer na extenção TLS quer no openssl que usa esta libraria…mas já era conhecido este problema.

            Não sei até que ponto é que se sabia de tudo, muito possivelmente não se sabia a abrangência que isto poderia ter, o pânico surgiu depois de investigadores começarem a olhar para a coisa com olhos de ver(é sempre assim…seres humanos a fazer código dá nisto lol) 😀

            Não era de conhecimento generalizado obviamente…mas acredito que muitos milhões pelo mundo fora já soubessem…o mundo tem vários biliões de pessoas…

            eu acho que tive conhecimento em alguma das milhentas mailing lists que me enchem o email dedicado para mailing lists…para o bem e para o mal lol, mas não me recordo…no entanto já tinha ouvido falar disto(mas nem eu sabia a gravidade do problema, e penso que na altura não era reportada como sendo de tamanha urgência…)…mas não era divulgado nos meios “normais”..

    • pixar says:

      “imagino a NSA”
      Independentemente do bug ser propositado ou não, como era de esperar, a NSA esteve bem caladinha… Não podemos esquecer que é uma agência de segurança e a segurança está acima de tudo. 😀

  3. Azeiteiro says:

    “Eles” (NSA) tem como trabalho ler os dados que circulam no mundo… e tem feito de tudo para ter acesso às informações… e apesar de este problema ter sido descoberto, estou certo que eles sabem de pelo menos uma dúzia de outros que permitem o mesmo nível de acesso e interferência.

    Quem quer ter uma aplicação realmente segura tem de a fazer ele próprio, fazer todo o tipo de testes, e pagar a muita gente/ empresas para cair em cima do código e testá-lo até à exaustão para garantir que não há nada de errado… e em especial não usar coisa alguma recomendada pela NSA… se é recomendado pela NSA, não é seguro.

    Aliás, é o que todos os estados de países avançados fazem… usar algoritmos secretos (tanto quanto é possível ser-se secreto nestas coisas) e normalmente evitam tudo o que é recomendado pela NSA… por motivos óbvios, nem a própria NSA usa o que recomenda na Suite B para eles próprios… para o que tem de ficar realmente seguro, usam a Suite A… só pode querer dizer uma coisa… Suite B = Inseguro.

    Por exemplo em vez de encriptação simétrica AES256, usar Threefish256, em vez de integridade SHA2-512/SHA3-512 usar Whirlpool512, em vez de usar certificados NIST P-384 usar Curve41417, não usar Dual_EC_DRBG para criar aliatoriedade nos números por exemplo… e por aí em diante… os programadores já ficaram com a ideia :p

    • pixar says:

      “Quem quer ter uma aplicação realmente segura tem de a fazer ele próprio, fazer todo o tipo de testes, e pagar a muita gente/ empresas para cair em cima do código e testá-lo até à exaustão para garantir que não há nada de errado…”

      A questão é que se a NSA tiver conhecimento que está a ser desenvolvido um novo protocolo, vai oferecer ainda mais dinheiro que tu para introduzir uma backdoor. Aparentemente foi o que aconteceu com a RSA.

      • Azeiteiro says:

        O dinheiro pode comprar muita gente… e compra… mas se tu tens interesse em que seja realmente seguro a sério… digamos que és a Airbus, ou o estado Espanhol… provavelmente não há dinheiro que consiga comprar-te, porque tu já tens rios de dinheiro, e queres é mantê-los à distância! E sim, é possível introduzir backdoors… mas é muito mais fácil quando é no teu país que te mandam meter… ora a NSA pode mandar lá nos EUA, mas não manda no resto do mundo, pode tentar subornar (e fá-lo todos os dias) mas com dezenas/ centenas de programadores a testar e a verificar a segurança do teu programa… e a serem bem pagos por ti a probabilidade de conseguirem subverter o código é mínima/ nula… não estamos a falar de projetos tipo OpenSSL e outros que ninguém sabe quem realmente quem são as pessoas que mantêm o código… e se são americanos, eles tem a obrigação legal de meter backdoors se isso lhes for exigido pela NSA, FBI, CIA e outras… o outro do serviço de e-mail recusou-se a isso na empresa e está em tribunal a correr risco de ir preso por se recusar a cumprir ordens do tribunal secreto da NSA (ou a pedido do FBI não tenho a certeza… mas a ordem judicial era secreta… tinha de fazer e não dizer nada a ninguém).

        • lmx says:

          pois teoricamente quem começou o projecto foi a Austrália e a Europa :S

          Mas a australia faz parte dos Paises ligados a NSA…e europa…é o quê??É que reino unido também faz parte :S a Holanda, também se mete “na cama” com os EUA :S

          Na verdade alguns developers são americanos :D, como é que isto é um projecto Europeu/Australiano??Alguém explica?? 😀

          Já o GNUTLS é desenvolvido pela Grécia e pela Suécia, e está debaixo da Alçada da FSF, o que dá algumas garantias, em relação a NSA…mas já nem sei lol

  4. António Nunes says:

    Cego não é aquele que não vê.Cego é aquele que não quer ver.

  5. superneo says:

    someone…kill NSA!

  6. Ru1Sous4 says:

    “A revelação de que a NSA teve conhecimento deste problema muito antes dele ser revelado vem mostrar mais uma vez a postura desta agência.”

    Sim porque as agencies Europeias tem uma postura muito melhor. ..

    • lmx says:

      Mas as agências europeias…são EUROPEIAS…

      ou seja para nós, são mais “legais” do que alguma entidade de fora da Europa!!

      • Ru1Sous4 says:

        Refiro-me a postura que as agencias Europeias tem relativamente à (não) defesa dos interesses dos seus cidadãos, sabe-se tudo o q a NSA esta a fazer e n vejo nenhum organismo Europeu a tomar acções exemplares.

        • Azeiteiro says:

          As agências secretas europeias cooperam a todos os níveis com a sua congenere dos EUA e outras do mundo inteiro, e vice-versa… todos guardam informações para si, mas no geral partilham alguma informação para benefício de todos (excepto claro a população). Claro que quem lá trabalha, poderá dizer que já salvaram milhares e milhares de vida… e provavelmente será verdade… mas também já estragaram milhares e milhares de vidas… porque é óbvio que abusam das suas capacidades todos os dias a toda a hora… uns mais que outros, claro.

  7. Nelson says:

    Lol, para mim, não me interessa, e não…

    Se a NSA quisesse saber do meu cartão de crédito e historial deste, ou da minha password, eles mandavam um pedido á MasterCard (acho que o meu é MasterCard, não sei…)

    Ainda mais fácil, vejam lá…

    • lmx says:

      sim, para fins legais e até certo ponto sim é verdade.

      Mas as agências de espionagem são usadas para tudo o que é ilegal e isso é feito “off the record” para o País ou os estados não ficarem mal vistos perante outros estados…

      Aquilo que é legal podes fazer aos olhos de todos, mas o que é ilegal…só podes fazer, se outros não souberem…

      os mecanismos que falas, já existem e são legais, sendo que por exemplo em Portugal tens tribunais que aprovam essas medidas, mas aqui o caso(NSA) é ter condutas ilegais…é para isso que a agência existe… 🙁

  8. tiago says:

    Isto já me parece aquele filme muito conhecido de todos “Impacto Profundo – Deep Impact” em que já sabiam há mais de um ano que um asteroide ia embater na terra… ok, é um filme e até que ponto não se confunde com a realidade?

    Em quase tudo, partindo do principio que muitas agências mundiais, como esta, sabem de situações que se passam e não dizem nada á população… que é uma vergonha mundial!

    É por estas e por outras que muitas informações não se devem colocar na internet… que é um mundo dentro deste!

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.