Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Heartbleed: pokazano w praktyce jak wykraść klucze prywatne do certyfikatu SSL
Problemy związane z heartbleed nabierają rozmachu. Wprawdzie podatnych jest raczej nie „60%” czy „większość” serwerów w Internecie – jak to donoszą niektóre serwisy – ale raczej około 20% i to webserwerów. Nie zmienia to faktu, że podatność jest chyba jedną z paskudniejszych jeśli chodzi o ostatnie parę lat. Ostatnio Bruce Schneier tak scharakteryzował heartbleeda:
„Catastrophic” is the right word. On the scale of 1 to 10, this is an 11.
Do tej pory opinie czy wykorzystując lukę można wykraść klucz prywatny do certyfikatu SSL były podzielone. Wątpliwości jednak dość szybko zostały rozwiane konkursem ogłoszonym przez cloudflare – gdzie z Nginx-a należało wykraść właśnie klucz prywatny do certyfikatu. Udało się to już dwóm osobom.
Z racji że posiadanie klucza prywatnego może w relatywnie łatwy sposób prowadzić do możliwości deszyfracji ruchu chronionego prawidłowym certyfikatem, jeśli posiadamy istotną usługę i byliśmy podatni – zalecamy po zapatchowaniu OpenSSL wygenerować zupełnie nowy certyfikat (a co za tym idzie nowy klucz prywatny, który mógł zostać skompromitowany „po cichu”).
PS
Niedługo z heartbleed będzie można się zmierzyć w naszym nowym hackme.
–ms
1 Na couldflare – do wycieku kluczy doszło w specyficznych warunkach – przy restarcie serwera. 2,3 mln zapytań i 1k zapytań ZTCP
No druga osoba zrobiła to po około 100k zapytań, i są jeszcze 2 kolejne (w sumie priv key odzyskały 4 osoby). Co do rebootu – to może będzie kolejny konkurs żeby nie mieć wątpliwości: „We rebooted the server at 3:08PST, which may have contributed to the key being available in memory, but we can’t be certain.”