Myslím, že nie je médium, ktoré sa venuje internetu čo by sa nevenovalo zraniteľnosti CVE-2014-0160 známej aj ako Heartbleed. V skratke ide o bezpečnostnú chybu knižnici OpenSSL, ktorá sa používa napríklad pre šifrovanie HTTPS.
Chyba sa v knižnici nachádzala dva roky, len málokto si trúfne povedať kto všetko o nej mohol vedieť. Najkritickejšie čo môže zneužitie tejto chyby spôsobiť je získanie privátneho kľúča útočníkom a tak dešifrovať komunikáciu, ktorá by mala byť za normálnych okolností skrytá. To nehovorím o tom, že je možné podvrhnúť identitu.
Zrozumiteľne a celkom jasne to popisuje na moje prekvapenie článok na ihned.cz, určite odporúčam aj netechnickým typom na prečítanie o čo vlastne ide, ako sa ubrániť z pohľadu prevádzkovateľa servera alebo bežného užívateľa. Ako je na tom slovenský internet? Konkrétne národná doména .SK? Dá sa to celkom jednoducho otestovať. Zoznam všetkých slovenských domén je dostupný na voľné stiahnutie, z neho som si vyparsoval len zoznam domén bez ďalších info.
Na webe filippo.io/Heartbleed je k dispozicii web rozhranie pre otestovanie zraniteľnosti. Aplikácia používa CLI nástroj napísaný v Go, ktorý stačí skompilovať. Potom mu už stačí predať doménu, ktorú ma overiť a počkať si na výsledok – odpoveď ale trvá ~5 sekúnd čo je pomerne dlho. Stačí ale zapojiť viac procesov, každému podhodiť kus zoznamu a ide to rýchlejšie. Ale teraz konečne k výsledkom:
- počet testovaných domén: 300 622
- počet domén zo statusom VULNERABLE: 20 481, čo je 6,9 % zo všetkých .SK domén
- počet domén zo statusom SAFE: 195 459, čo je 65 % zo všetkých .SK domén
- počet domén s iným statusom: 84 682
Testoval som HTTPS protokol na štandardnom porte 443. Za SAFE sa považujú aj domény, ktoré nemajú HTTPS implementované. Nie som žiaden bezpečnostný analytik, takže aj tento „výskum“ berte so značnou rezervou. Skôr mi išlo o vyskúšanie si niečoho nového. Naviac ubehlo dosť času, takže dosť serverov mohlo byť medzitým updatnutých.