Vyjadrenia a správy o zraniteľnosti "Heartbleed" (CVE-2014-0160) sa dostali takmer do všetkých médií, vrátane tých mainstreamových a to i tých ktoré sa zvyčajne témam z oblasti bezpečnosti alebo informačných technológií nevenujú. Našu pôvodnú správu k tejto problematike, objasňujúcu základné princípy tejto zraniteľnosti ako aj najčastejšie rozšírené chybné názory môžete nájsť na našom blogu.
S odstupom času sme pozbierali dáta na analýzu stavu "slovenského internetu" v súvislosti s touto zraniteľnosťou. Za "slovenský internet" sa v tomto kontexte rozumejú webové servery prevádzkujúce webové domény v rámci top-level domény .sk.
Výsledky našej analýzy vychádzajú z dát zozbieraných dva týždne po zverejnení zraniteľnosti a reflektujú celosvetové výsledky ako aj výsledky pre jednotlivé krajiny, ktoré počet zraniteľných serverov stanovujú (v závislosti na čas zberu dát) na 2-5%. V rámci nami realizovaného testu na doméne .sk bolo identifikovaných 9417 domén prevádzkovaných na zraniteľných serveroch, čo reprezentuje 3.13% z celkového počtu 300815 testovaných domén (stav k 18.4.2014).
Štatistika zraniteľnosti Heartbleed na doménach v .sk:
Test bol realizovaný v noci zo 17. na 18. Apríla 2014.
Vzhľadom na častokrát podceňovaný dopad tejto zraniteľnosti, ktorý predstavuje možná kompromitácia privátneho SSL kľúča, sme následne vykonali stručnú analýzu stavu SSL certifikátov realizovanú 9.5.2014, teda mesiac od prepuknutia problému.
Nasledovný diagram reprezentuje počet certifikátov obnovených v období 7.4.2014 - 9.5.2014. Za obnovený certifikát sa počíta certifikát ktorého doba "platnosti od" (Not Before) začína po dni zverejnenia zraniteľnosti 7.4.2014. Do úvahy sa pritom neberie dôvod (re)generovania certifikátu, či je to jeho prvotná inštalácia, predchádzajúca exspirácia, alebo regenerovanie z dôvodu potenciálnej kompromitácie. Iba samotný fakt, že za nekompromitovaný sa považuje certifikát generovaný po vydaní záplaty na danú zraniteľnosť. Taktiež celková vzorka zozbieraných certifikátov predstavuje všetky dostupné SSL certifikáty prevádzkované na doménach .sk, nie len na doménach detegovaných ako zraniteľné vo vyššie uvedenej štatistike, keďže nie je možné jednoznačne vyčleniť iba zraniteľné servery.
Z výsledkov analýzy vyplýva že v období 7.4.2014 - 9.5.2014 bol (re)generovaných 57114 certifikátov čo predstavuje 28.9% z celkového množstva 197606 dostupných certifikátov.
Štatistika certifikátov vydaných po zverejnení záplaty na zraniteľnosť
Zbieranie certifikátov bolo realizované 9.5.2014.
O ďalší mesiac neskôr, teda za obdobie 7.4.2014 - 6.6.2014, sa výsledky zlepšili iba o málo.
Štatistika zraniteľnosti Heartbleed na doménach v .sk
Zbieranie certifikátov bolo realizované 6.6.2014.
Rýchlosť reakcie na danú zraniteľnosť je možné najlepšie demonštrovať nasledujúcim diagramom, reprezentujúcim počet certifikátov ktorých platnosť začína daným dňom. Prvý a najvýraznejší vrchol predstavuje 10. apríl 2014 reprezentujúci pregenerovanie certifikátov webhostingovou spoločnosťou Websupport. Druhý výrazný vrchol reprezentuje 4. máj 2014 a regenerovanie certifikátov Internet SK (FORPSI).
Počet obnovených certifikátov za deň po zverejnení záplaty na zraniteľnosť pre doménu .sk
Zbieranie certifikátov bolo realizované 9.5.2014.
Z pohľadu platnosti certifikátov je zaujímavým faktom, že 36855 analyzovaných certifikátov, 18.7% z celkového počtu, bolo v čase testu neplatných z dôvodu ich exspirácie.
Štatistika platnosti certifikátov pre doménu .sk
Zbieranie certifikátov bolo realizované 9.5.2014.
Celkový obraz už len dotvára posledná štatistika reprezentujúca počet certifikátov vydaných dôveryhodnými certifikačnými autoritami, voči takzvaným "self-signed" certifikátom. Tie v tomto prípade reprezentujú 26.7%, čo predstavuje 52804 certifikátov.
Štatistika dôveryhodnosti certifikátov pre doménu .sk
Zbieranie certifikátov bolo realizované 9.5.2014.
Zo zistených údajov jasne vidieť, ako sa k problematike heartbleed postavili správcovia IT na Slovensku. Drvivá väčšina systémov je opravená. Námatková kontrola neopravených ukázala, že ide zväčša o mŕtve, alebo inak nepodstatné projekty. Nepríjemnejšie zistenie je, že viac ako dve tretiny certifikátov zostali bez zmeny. To v praxi znamená, že dve tretiny súkromných kľúčov sú potenciálne kompromitované. V takom prípade dokáže útočník dotknutú šifrovanú komunikáciu dešifrovať.
Obrazne povedané - dve tretiny systémov mali niekoľko rokov kľúč od dverí pod rohožkou. Správcovia ho z pod rohožky odstránili, ale zámkovú vložku nechali pôvodnú. Spoliehajú sa na to, že si nikto nestihol spraviť vlastnú kópiu kľúču.