“Heartbleed” é um termo usado para descrever uma grande falha de segurança que foi descoberta na popular biblioteca de software de criptografia OpenSSL. Esta falha permitiu aos atacantes explorar remotamente uma vulnerabilidade de buffer overflow a fim de obter informações sensíveis, como senhas de usuários e chaves privadas de criptografia, de servidores que estavam usando a versão afetada do OpenSSL. O nome “Heartbleed” vem do fato de que o exploit tira vantagem de uma falha na extensão “heartbeat” do protocolo TLS, que é usado para manter vivas as comunicações seguras. Quem desenvolveu o exploit original para o CVE? O CVE foi desenvolvido pela Agência Nacional de Segurança dos EUA (NSA).
O que é a batida do coração no OpenSSL?
Heartbeat é uma funcionalidade no OpenSSL que permite o envio periódico de mensagens entre dois computadores para manter viva uma conexão. O Heartbeat pode ser usado para detectar quando uma conexão foi perdida, e também pode ser usado para manter os mapeamentos NAT (Network Address Translation) vivos. O que é a extensão do batimento cardíaco? A extensão de batimento cardíaco é uma característica do protocolo Transport Layer Security (TLS) que permite aos clientes verificar o estado da conexão de um servidor. Ele funciona enviando uma mensagem de “batimento cardíaco” para o servidor e esperando por uma resposta. Se o servidor não responder dentro de um determinado período de tempo, o cliente pode assumir que a conexão foi perdida e tomar as medidas apropriadas.
Quem é responsável pelo bug do heartbleed? O bug do heartbleed é uma vulnerabilidade de segurança que foi descoberta na biblioteca de criptografia OpenSSL. O bug permite a divulgação de informações sensíveis, tais como senhas e chaves privadas, que normalmente seriam protegidas pela criptografia SSL/TLS usada por muitos sites. O bug foi primeiro descoberto por uma equipa de investigadores de segurança do Google e do Codenomicon.
Quais são as três técnicas de caça a bugs mais conhecidas?
1. Fuzzing: Fuzzing é uma técnica de caça a bugs que envolve fornecer dados inválidos ou aleatórios como entrada para um programa de computador e depois observar o comportamento do programa. O objetivo do fuzzing é encontrar inputs que causam o programa travar ou se comportar de maneiras inesperadas.
2. Revisão do código: Revisão de código é uma técnica de caça a bugs que envolve inspecionar manualmente o código fonte de um programa em busca de bugs. A revisão de código pode ser feita manualmente ou usando ferramentas automatizadas.
3. teste: O teste é uma técnica de caça a bugs que envolve executar um programa com entradas conhecidas e observar seu comportamento. Os testes podem ser feitos manualmente ou usando ferramentas automatizadas.