Vlog


Sleduj ma


Twitter


Ako zvládol slovenský internet Heartbleed test?

Myslím, že nie je médium, ktoré sa venuje internetu čo by sa nevenovalo zraniteľnosti CVE-2014-0160 známej aj ako Heartbleed. V skratke ide o bezpečnostnú chybu knižnici OpenSSL, ktorá sa používa napríklad pre šifrovanie HTTPS.

Chyba sa v knižnici nachádzala dva roky, len málokto si trúfne povedať kto všetko o nej mohol vedieť. Najkritickejšie čo môže zneužitie tejto chyby spôsobiť je získanie privátneho kľúča útočníkom a tak dešifrovať komunikáciu, ktorá by mala byť za normálnych okolností skrytá. To nehovorím o tom, že je možné podvrhnúť identitu.

Zrozumiteľne a celkom jasne to popisuje na moje prekvapenie článok na ihned.cz, určite odporúčam aj netechnickým typom na prečítanie o čo vlastne ide, ako sa ubrániť z pohľadu prevádzkovateľa servera alebo bežného užívateľa. Ako je na tom slovenský internet? Konkrétne národná doména .SK? Dá sa to celkom jednoducho otestovať. Zoznam všetkých slovenských domén je dostupný na voľné stiahnutie, z neho som si vyparsoval len zoznam domén bez ďalších info.

Ako zvládol slovenský internet Heartbleed test?

Na webe filippo.io/Heartbleed je k dispozicii web rozhranie pre otestovanie zraniteľnosti. Aplikácia používa CLI nástroj napísaný v Go, ktorý stačí skompilovať. Potom mu už stačí predať doménu, ktorú ma overiť a počkať si na výsledok – odpoveď ale trvá ~5 sekúnd čo je pomerne dlho. Stačí ale zapojiť viac procesov, každému podhodiť kus zoznamu a ide to rýchlejšie. Ale teraz konečne k výsledkom:

Testoval som HTTPS protokol na štandardnom porte 443. Za SAFE sa považujú aj domény, ktoré nemajú HTTPS implementované. Nie som žiaden bezpečnostný analytik, takže aj tento „výskum“ berte so značnou rezervou. Skôr mi išlo o vyskúšanie si niečoho nového. Naviac ubehlo dosť času, takže dosť serverov mohlo byť medzitým updatnutých.


Mohli by vás zaujímať aj tieto články

Angličania prídu o .EU doménu

Európska komisia koncom marca vydala prehlásenie podľa ktorého firmy a občania Veľkej Británie stratia právo vlastniť a registrovať .EU doménu. Tým ex

Google vypína svoj skracovač URL goo.gl

Google oznámil, že v najbližšej dobe vypne svoju službu pre skracovanie URL s názvom goo.gl. Priamo Google odporúča prejsť k iným službám ako bit.ly a

4 WordCampy na ktoré sa oplatí vyraziť

Prvá polka roka v strednej Európe je venovaná WordCamp-om – podujatiam, ktoré sú zamerané na WordPress. Sú určené ako pre tvorcov obsahu, tak aj dizaj

Publikované 11.04.2014

Zdieľaj článok

TOPlist TOPlist