Depende de su definición de la palabra “cualquiera” en esta oración.
Si por “cualquiera” quiere decir “cualquier dato no autorizado en absoluto”, la respuesta es enfáticamente sí. Cualquiera, en cualquier lugar de Internet, puede explotar este error y recopilar muchos bloques de datos privados que no están autorizados a recibir. Es por eso que escuchas este error descrito en términos tan superlativos y la razón principal por la que incluso las organizaciones lentas y pesadas han podido corregir el error a la velocidad del rayo.
Si por “cualquiera” quiere decir “cualquier dato específico en el servidor de su elección”, la respuesta probablemente no sea. Heartbleed permite a cualquiera solicitar un flujo constante de bloques de 64 kilobytes de contenido de memoria arbitraria que se asignan cerca de la memoria del servidor donde se almacenan los datos de latido. Puede argumentar que con un número suficiente de solicitudes de latidos recopilará todos los datos que pueda desear del servidor, pero ese argumento es amigo cercano del teorema del mono infinito.
- Cómo comenzar con Raspberry Pi 2
- ¿Cómo el bitcoin, y la tecnología de la información que lo hace posible, tienen implicaciones para nuestro mundo como sociedad global?
- ¿Llegó la tecnología al punto donde es difícil introducir nuevos productos y conceptos?
- ¿Qué es la tecnología satelital?
- Puedo codificar un poco y quiero crear una pequeña aplicación para usar en un teléfono celular o tableta. ¿Dónde empiezo?
Metasploit es la herramienta de referencia para este tipo de pruebas. Es posible que haya kits de herramientas de piratas informáticos mejor desarrollados que lo ayuden a comprender mejor la mezcla de datos extraídos devueltos por Heartbleed, pero no dejaría huellas en los registros de los sitios que albergarán dichas herramientas.
Tenga en cuenta que si utiliza una herramienta diseñada para extraer intencionalmente datos privados de un sistema en el que no está autorizado para hacerlo, puede ser responsable de daños civiles y penales.
EDITAR: Gracias al desafío Cloudflare, ahora hay algunos kits de herramientas que pueden extraer explícitamente claves privadas de los servidores, incluidos robertdavidgraham / heartleech e indutny / heartbleed. Tenga en cuenta que el uso de este software para sondear servidores en los que no está autorizado para hacerlo es ciertamente poco ético y probablemente criminal.
