<div dir="ltr">I think the banks are putting their heads in the sand on this one.  They keep saying it hasn't impacted them.  But it isn't about only their websites, it is about every website where you ever bought anything.  And, it isn't about passwords, it is about past lost data.  </div>

<div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Apr 10, 2014 at 9:21 PM, Bob Nance <span dir="ltr"><<a href="mailto:bob.nance@novationsys.com" target="_blank">bob.nance@novationsys.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The trick is to get the private key of a website, which is in RAM,<br>
somewhere! Once you have it, you can intercept all SSL communications<br>
without the web user having a clue. A perfect man-in-the-middle attack!<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
On 4/10/14, 8:21 PM, "Michael W. Hall" <<a href="mailto:hallmw@att.net">hallmw@att.net</a>> wrote:<br>
<br>
>That is what they said at work Bob.  Basically it did a memory dump of<br>
>the system.  You could eventually get a snap shot of the memory.<br>
><br>
>On Thu, 2014-04-10 at 15:26 +0000, Bob Nance wrote:<br>
>> ALL versions of OpenSSL had the bug.<br>
>><br>
>> There is no way to track that the bug was triggered.<br>
>><br>
>> It did not require you to actually access or authenticate to the system<br>
>>in<br>
>> any way.<br>
>><br>
>> The bug, basically, did a memory dump of the running system (as I<br>
>> understand it).<br>
>><br>
>> So, it must be assumed that EVERY OpenSSL implementation was being<br>
>> triggered every few minutes since the dawn of time.<br>
>><br>
>> Yes, itıs that bad.<br>
>><br>
>><br>
><br>
><br>
>_______________________________________________<br>
>LUNA mailing list<br>
><a href="mailto:LUNA@lunagroup.us">LUNA@lunagroup.us</a><br>
><a href="http://lunagroup.us/mailman/listinfo/luna" target="_blank">http://lunagroup.us/mailman/listinfo/luna</a><br>
<br>
_______________________________________________<br>
LUNA mailing list<br>
<a href="mailto:LUNA@lunagroup.us">LUNA@lunagroup.us</a><br>
<a href="http://lunagroup.us/mailman/listinfo/luna" target="_blank">http://lunagroup.us/mailman/listinfo/luna</a><br>
</div></div></blockquote></div><br></div>