Vlog


Sleduj ma


Twitter


Ako zvládol slovenský internet Heartbleed test?

Myslím, že nie je médium, ktoré sa venuje internetu čo by sa nevenovalo zraniteľnosti CVE-2014-0160 známej aj ako Heartbleed. V skratke ide o bezpečnostnú chybu knižnici OpenSSL, ktorá sa používa napríklad pre šifrovanie HTTPS.

Chyba sa v knižnici nachádzala dva roky, len málokto si trúfne povedať kto všetko o nej mohol vedieť. Najkritickejšie čo môže zneužitie tejto chyby spôsobiť je získanie privátneho kľúča útočníkom a tak dešifrovať komunikáciu, ktorá by mala byť za normálnych okolností skrytá. To nehovorím o tom, že je možné podvrhnúť identitu.

Zrozumiteľne a celkom jasne to popisuje na moje prekvapenie článok na ihned.cz, určite odporúčam aj netechnickým typom na prečítanie o čo vlastne ide, ako sa ubrániť z pohľadu prevádzkovateľa servera alebo bežného užívateľa. Ako je na tom slovenský internet? Konkrétne národná doména .SK? Dá sa to celkom jednoducho otestovať. Zoznam všetkých slovenských domén je dostupný na voľné stiahnutie, z neho som si vyparsoval len zoznam domén bez ďalších info.

Ako zvládol slovenský internet Heartbleed test?

Na webe filippo.io/Heartbleed je k dispozicii web rozhranie pre otestovanie zraniteľnosti. Aplikácia používa CLI nástroj napísaný v Go, ktorý stačí skompilovať. Potom mu už stačí predať doménu, ktorú ma overiť a počkať si na výsledok – odpoveď ale trvá ~5 sekúnd čo je pomerne dlho. Stačí ale zapojiť viac procesov, každému podhodiť kus zoznamu a ide to rýchlejšie. Ale teraz konečne k výsledkom:

Testoval som HTTPS protokol na štandardnom porte 443. Za SAFE sa považujú aj domény, ktoré nemajú HTTPS implementované. Nie som žiaden bezpečnostný analytik, takže aj tento „výskum“ berte so značnou rezervou. Skôr mi išlo o vyskúšanie si niečoho nového. Naviac ubehlo dosť času, takže dosť serverov mohlo byť medzitým updatnutých.


Mohli by vás zaujímať aj tieto články

Weekly #54 - WordPress 5.2, MDS vulnerabilities, Alexa, Bitnami

Technológie WordPress 5.2 “Jaco” Patch status for the new MDS attacks against Intel CPUs Anatomy of a Cascading Failure Microsoft to reduce Azure outa

Weekly #51 - OpenSSH 8.0, Apache NetBeans, OpenStack Stein, QEMU 4.0

Technológie The current state of progressive web apps Front-end Developer Handbook 2019 7 Useful JavaScript Tricks PluginVulnerabilities.com is Protes

Weekly #47 - OpenBSD, serverless, CSS reset, nano 4.0

Technológie Managing Kubernetes Ingresses GNU nano 4.0 "Thy Rope of Sands" How to collect, standardize, and centralize Golang logs Using the

Publikované 11.04.2014

Zdieľaj článok

TOPlist TOPlist