Pessoal, conforme havia comentado em sala de aula, no dia 13 de maio de 2008 a comunidade Debian levou um duro golpe devido ao deslize (e que deslize!) dos responsáveis pela compilação do pacote OpenSSL para Debian.
Para quem programa na linguagem C/C++ é muito comum e recomendado o uso do
Valgrind uma ferramenta capaz de analisar um binário e detectar possíveis fontes de bugs como: variáveis não inicializadas, alocação indevida de memória, thread's com deadlock etc. Até aí tudo bem, porém o responsável por gerar o release do OpenSSL utilizou o Valgrind para detectar possíveis erros e alguns avisos (warnings) foram exibidos.
Como nós sabemos, avisos (warnings) não são erros, logo o responsável pela geração do release retirou do código do OpenSSL trechos que são usados como uma semente (seed) que somados com o PID de processos do Linux, são responsáveis pelo fator de aleatoriedade necessário em qualquer técnica de criptografia. Com isso, o fator de aleatoriedade ficou sendo determinado apenas pelo PID de processos do Linux, onde um processo pode possuir um PID máximo de 32.768 (um tipo int).
Para variar, tinha que ser um argentino chamado Luciano Bello o descobridor desta vulnerabilidade. E por força bruta fornecendo como semente o número 32.768 que é relativamente pequeno, quebrou chaves de certificados de diversos serviços como: VPN's, AC's, DNSSec e etc.
Todas as distribuições Debian e derivados como Ubuntu, Kubuntu etc. lançadas entre setembro de 2006 e 13 de maio de 2008 tiveram que revogar todos os certificados emitidos. Ainda bem que uso a versão 9.04 :)
