Hlavní navigace

Heartbleed použit k ukradení privátních klíčů

Petr Krčmář 14. 4. 2014

Zranitelnost Heartbleed straší už několik dnů všechny správce a skrze média také uživatele. Podrobně se jí věnoval v pátek Ondřej Caletka v samostatném článku. Odborná veřejnost se shoduje na tom, že je možné skrze tuto zranitelnost získat citlivé údaje uživatelů, ovšem k ukradení privátních klíčů pro SSL je většina odborníků skeptická. Co se týká privátního klíče k X.509 certifikátu, k tomu je část veřejnosti skeptická, zejména proto, že paměť alokovaná pro privátní klíče se po dobu života procesu obvykle neuvolňuje, takže by nemělo být příliš pravděpodobné, že se dostane do nebezpečné oblasti, vysvětluje Ondřej Caletka.

Společnost Cloudflare spustila soutěž o to, komu se podaří Heartbleed zneužít právě ke získání klíčů. K tomuto účelu byl spuštěn Nginx server se zranitelným SSL. Výsledek přišel poměrně rychle, během několika hodin se ozvali tři úspěšní řešitelé, kteří předložili platný privátní klíč získaný ze serveru. Jeden s útočníků poslal na server 2,5 milionu požadavků, ten druhý 100 000. Společnost ale tvrdí, že několik hodin před začátkem závodu webový server restartovala, takže se klíč mohl dostat do neinicializované paměti.

Ovšem dokazuje to, že získání privátního klíče je možné.

Našli jste v článku chybu?
Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky