Vlog


Sleduj ma


Twitter


Ako zvládol slovenský internet Heartbleed test?

Myslím, že nie je médium, ktoré sa venuje internetu čo by sa nevenovalo zraniteľnosti CVE-2014-0160 známej aj ako Heartbleed. V skratke ide o bezpečnostnú chybu knižnici OpenSSL, ktorá sa používa napríklad pre šifrovanie HTTPS.

Chyba sa v knižnici nachádzala dva roky, len málokto si trúfne povedať kto všetko o nej mohol vedieť. Najkritickejšie čo môže zneužitie tejto chyby spôsobiť je získanie privátneho kľúča útočníkom a tak dešifrovať komunikáciu, ktorá by mala byť za normálnych okolností skrytá. To nehovorím o tom, že je možné podvrhnúť identitu.

Zrozumiteľne a celkom jasne to popisuje na moje prekvapenie článok na ihned.cz, určite odporúčam aj netechnickým typom na prečítanie o čo vlastne ide, ako sa ubrániť z pohľadu prevádzkovateľa servera alebo bežného užívateľa. Ako je na tom slovenský internet? Konkrétne národná doména .SK? Dá sa to celkom jednoducho otestovať. Zoznam všetkých slovenských domén je dostupný na voľné stiahnutie, z neho som si vyparsoval len zoznam domén bez ďalších info.

Ako zvládol slovenský internet Heartbleed test?

Na webe filippo.io/Heartbleed je k dispozicii web rozhranie pre otestovanie zraniteľnosti. Aplikácia používa CLI nástroj napísaný v Go, ktorý stačí skompilovať. Potom mu už stačí predať doménu, ktorú ma overiť a počkať si na výsledok – odpoveď ale trvá ~5 sekúnd čo je pomerne dlho. Stačí ale zapojiť viac procesov, každému podhodiť kus zoznamu a ide to rýchlejšie. Ale teraz konečne k výsledkom:

Testoval som HTTPS protokol na štandardnom porte 443. Za SAFE sa považujú aj domény, ktoré nemajú HTTPS implementované. Nie som žiaden bezpečnostný analytik, takže aj tento „výskum“ berte so značnou rezervou. Skôr mi išlo o vyskúšanie si niečoho nového. Naviac ubehlo dosť času, takže dosť serverov mohlo byť medzitým updatnutých.


Mohli by vás zaujímať aj tieto články

Ako sa robí softvér na mieru (Radek Tančouz, RTsoft) | Tech Talks

Uvažujete nad softvérom na mieru? Či už ako tvorca alebo klient? Zorientovať sa v tejto problematike nie je vždy jednoduché - nech už premýšľate, ako

Čo so starým WordPress webom? | VLOG #91

WordPress je super. Ale občas sa stane, že web, ktorý na ňom prevádzkujete je zastaralý. Nemyslím teraz vizuálne či obsahovo, ale že napríklad šablón

Ako sa robí európsky webhosting (Tomáš Srnka) | Tech Talks

PHP webhosting je najobľúbenejším a jedným z najdostupnejších spôsobov, ako vyvíjať a aj prevádzkovať webové stránky a online služby. Čo to obnáša z

Publikované 11.04.2014

Zdieľaj článok

TOPlist TOPlist