‘Lembrando que, essa falha não está nos protocolos SSL/TLS, e sim na implementação, erro de programação na biblioteca popular OpenSSL, a qual fornece o serviço de criptografia (SSL/TLS).’
Ótimo, quer dizer então que o SSL/TLS continua sendo perfeito, que hackers/crackers de todo o mundo não conseguiram, até hoje, quebrá-lo, mas a sua implementação está fodida ?
A implementação de um protocolo não é um dos pontos chaves de qualquer tecnologia que se conecta a algo ?
Explicando pela ótica de um administrador de ambientes web, que por um acaso cuida de alguns milhares de servidores:
Essa vulnerabilidade simplesmente fodeu com as nossas vidas, haja vista a quantidade de servidores que utilizam SSL e que possuem certificados digitais implementados.
Alguns analistas estimam que essa vulnerabilidade estará presente em milhares de servidores conectados à Internet por um bom tempo. Falamos de mais de 24 meses. Claro que os grandes players estão correndo contra o tempo para resolver o problema.
Mais uma noite longa e trabalhosa vem pela frente..
P.S.: Pelas minhas rudimentares contas, o pessoal da Sucuri, graças ao seu cloud proxy, já recebeu uns US$ 1000.00 somente das empresas que presto consultoria..
Marcelo Ferreira
22 jun 2014Nada que um bom IPS não consiga impedir após atualização com a assinatura específica para o heartbleed. 😉