Hlavní navigace

Heartbleed použit k ukradení privátních klíčů

Petr Krčmář

Zranitelnost Heartbleed straší už několik dnů všechny správce a skrze média také uživatele. Podrobně se jí věnoval v pátek Ondřej Caletka v samostatném článku. Odborná veřejnost se shoduje na tom, že je možné skrze tuto zranitelnost získat citlivé údaje uživatelů, ovšem k ukradení privátních klíčů pro SSL je většina odborníků skeptická. Co se týká privátního klíče k X.509 certifikátu, k tomu je část veřejnosti skeptická, zejména proto, že paměť alokovaná pro privátní klíče se po dobu života procesu obvykle neuvolňuje, takže by nemělo být příliš pravděpodobné, že se dostane do nebezpečné oblasti, vysvětluje Ondřej Caletka.

Společnost Cloudflare spustila soutěž o to, komu se podaří Heartbleed zneužít právě ke získání klíčů. K tomuto účelu byl spuštěn Nginx server se zranitelným SSL. Výsledek přišel poměrně rychle, během několika hodin se ozvali tři úspěšní řešitelé, kteří předložili platný privátní klíč získaný ze serveru. Jeden s útočníků poslal na server 2,5 milionu požadavků, ten druhý 100 000. Společnost ale tvrdí, že několik hodin před začátkem závodu webový server restartovala, takže se klíč mohl dostat do neinicializované paměti.

Ovšem dokazuje to, že získání privátního klíče je možné.

Našli jste v článku chybu?