|
Április elején derült fény a heartbleed nevű OpenSSL hibára. Nagy port vert fel az ügy, sok írás jelent meg róla. Akkor nem volt időm írni róla, de mivel ez erősen témába vág, így utólag is megemlékezek róla röviden.
A hibát kihasználva a támadó kidumpolhat részleteket egy OpenSSL-t használó webszerver (pl. Apache) memóriájából, így érzékeny információkhoz férhet hozzá, többek között az SSL szerver magánkulcsához is. A probléma oka az SSL kapcsolat életben tartásakor használt heartbeat üzenetek kezelésében rejlik, itt nem sikerült valamit lekezelni, ezen vérzik el az ügy.
Annyiban több, mint egy szoftverhiba a sok közül, hogy itt a szerver magánkulcsa is kiszivároghat, így a szoftver frissítése nem oldja meg a problémát: A magánkulcs birtokában a támadó továbbra is lehallgathatja a kommunikációt. A hiba elhárításához a magánkulcsot (és a tanúsítványt) is cserélni kell.
A támadás ráadásul nem hagy nyomot a logokban, és mivel tudjuk, hogy egyeseknek nemcsak sok erőforrása van, de többek között SSL kulcsokat is gyűjtenek, így akinek érintett OpenSSL verziója volt, az nyugodtan tételezze fel, hogy a magánkulcsa kompromittálódott. Van rá esély, hogy egyesek már régóta tudnak a problémáról, és ki a hibát kihasználva bespájzoltak mások kulcsaiból.
A heartbleed visszafelé is működik, a kliens is támadhatja a szervert ugyanígy.