Heartbleed: pokazano w praktyce jak wykraść klucze prywatne do certyfikatu SSL

12 kwietnia 2014, 15:29 | W biegu | komentarze 2
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Problemy związane z heartbleed nabierają rozmachu. Wprawdzie podatnych jest raczej nie „60%” czy „większość” serwerów w Internecie – jak to donoszą niektóre serwisy – ale raczej  około 20% i to webserwerów. Nie zmienia to faktu, że podatność jest chyba jedną z paskudniejszych jeśli chodzi o ostatnie parę lat. Ostatnio Bruce Schneier tak scharakteryzował heartbleeda:

„Catastrophic” is the right word. On the scale of 1 to 10, this is an 11.

Do tej pory opinie czy wykorzystując lukę można wykraść klucz prywatny do certyfikatu SSL były podzielone. Wątpliwości jednak dość szybko zostały rozwiane konkursem ogłoszonym przez cloudflare – gdzie z Nginx-a należało wykraść właśnie klucz prywatny do certyfikatu. Udało się to już dwóm osobom.

Z racji że posiadanie klucza prywatnego może w relatywnie łatwy sposób prowadzić do możliwości deszyfracji ruchu chronionego prawidłowym certyfikatem, jeśli posiadamy istotną usługę i byliśmy podatni – zalecamy po zapatchowaniu OpenSSL wygenerować zupełnie nowy certyfikat (a co za tym idzie nowy klucz prywatny, który mógł zostać skompromitowany „po cichu”).

PS
Niedługo z heartbleed będzie można się zmierzyć w naszym nowym hackme.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. vanitas

    1 Na couldflare – do wycieku kluczy doszło w specyficznych warunkach – przy restarcie serwera. 2,3 mln zapytań i 1k zapytań ZTCP

    Odpowiedz
    • No druga osoba zrobiła to po około 100k zapytań, i są jeszcze 2 kolejne (w sumie priv key odzyskały 4 osoby). Co do rebootu – to może będzie kolejny konkurs żeby nie mieć wątpliwości: „We rebooted the server at 3:08PST, which may have contributed to the key being available in memory, but we can’t be certain.”

      Odpowiedz

Odpowiedz