[Palestra] Dissecando o HeartBleed

capaOs bastidores do anúncio de uma das maiores vulnerabilidades de segurança da atualidade que afetou milhares de servidores na Internet – e que ainda é passível de exploração em outros milhares que ainda não corrigiram o problema – a devastadora e incrivelmente simples falha de programação de um componente do OpenSSL: a implementação mais usada do protocolo SSL no mundo.

Nesta palestra – apresentada no Grupo de Trabalho em Segurança do CGI.BR (05/2014) e na Campus Party Recife (07/2014) – literalmente “dissecamos” os fatos que vazaram sobre a descoberta e negociações entre os gigantes da Internet até a divulgação pública do HeartBleed em 07 de Abril de 2014.

googheartO incômodo da equipe do Google quando o Neel Mehta descobriu e reportou à sua equipe interna em 21/03/2014, o esforço de correção e estratégias de divulgação para parceiros de modo a minimizar os impactos até a divulgação definitiva feita pela “segunda descobridora” da falha, a Codenomicon.

No vídeo você conhecerá também quem é o Robin Seggelmann – “pai” do HeartBleed – e toda a polêmica envolvida na responsabilização da equipe do projeto e as “teorias conspiratórias” que atribuíam a falha a um implante de backdoor proposital pela NSA.

Veja todos os detalhes internos do funcionamento do protocolo HeartBeat, implantado no OpenSSL pelo Seggelmann, a descrição da falha que gerou a vulnerabilidade, as correções e diversas técnicas e ferramentas criadas para exploração de sistemas vulneráveis.

assinatura_peq

 

 

 


 Para ver os slides (PDF) da apresentação Clique Aqui

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *