<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">2014-04-09 20:51 GMT+02:00 Paul Pearce <span dir="ltr"><<a href="mailto:pearce@cs.berkeley.edu" target="_blank">pearce@cs.berkeley.edu</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">> * Should authorities scan for bad OpenSSL versions and force their weight<br>
> down to 20?<br>
<br>
</div>I'd be interested in hearing people's thoughts on how to do such<br>
scanning ethically (and perhaps legally). I was under the impression<br>
the only way to do this right now is to actually trigger the bounds<br>
bug and export some quantity (at least 1 byte) of memory from the<br>
vulnerable machine.<br></blockquote><div><br></div><div>Considering the consequences of having (a lot of) vulnerable machines in the network, wouldn't it be unethical NOT to do such kind of testing? I mean, basically every vulnerable relay endangers its users by making it possible to decrypt their communications. I strongly feel that the benefits (securing the network) outweigh the costs (exploiting the vulnerable machines and reading 1 byte of memory, but discarding them). Especially seeing that anybody would be able to perform the exploit, I don't see moral problems in such an aproach.<br>
<br></div><div>How this works out legally I of course have no idea.<br></div></div></div></div>