A Heartbleed sérülékenység kapcsán eddig világos volt, hogy:
- A bejelentést követő javítási ablakban minden valamennyire is ismert szolgáltatás esetén gyakorlatilag biztosra vehető, hogy a kiszolgálók által kezelt adatok jelentős része (jelszavak, session azonosítók, egyéb érzékeny adatok) kiszivárgott.
- A bejelentés előtt nagyjából két éven keresztül szemfüles feketekalaposok és a jobban informált szolgálatok is szimatolhattak a kiszolgálók memóriájában.
A nagy kérdés az volt, hogy mekkora az esélye a privát kulcsok kiszivárgásának? Nos, a Cloudflare felállított egy tesztrendszert, melyen sérülékeny OpenSSL változatot futtattak egy nginx webkiszolgáló alatt, és felkérték az internet népét, hogy ha tudják, szerezzék meg a privát kulcsukat.
A feladatot 24 órán belül két ember is teljesítette, Fedor Indutny nagyjából 2.5 millió, Ilkka Mattila pedig nagyjából 100.000 szívverés elküldése után volt képes helyreáéllítani a "titkok titkát".
A privát kulcsok kiszivárogtatása tehát valós környezetben, interneten keresztül is kivitelezhető, bár az akció elég zajos.
A félreértések elkerülése végett: a privát kulcsokat egy támadó akkor tudja használni, ha megfigyel egy, a kulccsal rejtjelezett (tudom, pongyola megfogalmazás) adatfolyamot. Amíg tehát az eredeti hibát bármelyik bitbetyár a világ bármely pontjáról ki tudta használni, a privát kulcsok leginkább akkor jönnek jól a támadónak, ha történetesen az áldozat mellett ül a Starbucksban (vagy egy fekete dobozban az ISP-nél...).
Aki eddig nem tette meg cserélje le érintett digitális tanúsítványait!