Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Heartbleed Challenge

2014.04.12. 18:18 | buherator | Szólj hozzá!

A Heartbleed sérülékenység kapcsán eddig világos volt, hogy:

  • A bejelentést követő javítási ablakban minden valamennyire is ismert szolgáltatás esetén gyakorlatilag biztosra vehető, hogy a kiszolgálók által kezelt adatok jelentős része (jelszavak, session azonosítók, egyéb érzékeny adatok) kiszivárgott. 
  • A bejelentés előtt nagyjából két éven keresztül szemfüles feketekalaposok és a jobban informált szolgálatok is szimatolhattak a kiszolgálók memóriájában.

A nagy kérdés az volt, hogy mekkora az esélye a privát kulcsok kiszivárgásának? Nos, a Cloudflare felállított egy tesztrendszert, melyen sérülékeny OpenSSL változatot futtattak egy nginx webkiszolgáló alatt, és felkérték az internet népét, hogy ha tudják, szerezzék meg a privát kulcsukat. 

A feladatot 24 órán belül két ember is teljesítette, Fedor Indutny nagyjából 2.5 millió, Ilkka Mattila pedig nagyjából 100.000 szívverés elküldése után volt képes helyreáéllítani a "titkok titkát". 

A privát kulcsok kiszivárogtatása tehát valós környezetben, interneten keresztül is kivitelezhető, bár az akció elég zajos. 

A félreértések elkerülése végett: a privát kulcsokat egy támadó akkor tudja használni, ha megfigyel egy, a kulccsal rejtjelezett (tudom, pongyola megfogalmazás) adatfolyamot. Amíg tehát az eredeti hibát bármelyik bitbetyár a világ bármely pontjáról ki tudta használni, a privát kulcsok leginkább akkor jönnek jól a támadónak, ha történetesen az áldozat mellett ül a Starbucksban (vagy egy fekete dobozban az ISP-nél...). 

Aki eddig nem tette meg cserélje le érintett digitális tanúsítványait!

Címkék: openssl heartbleed

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.