ssl-heartbleed

SSL, Heartbleed a slovenský internet

Vyjadrenia a správy o zraniteľnosti "Heartbleed" (CVE-2014-0160) sa dostali takmer do všetkých médií, vrátane tých mainstreamových a to i tých ktoré sa zvyčajne témam z oblasti bezpečnosti alebo informačných technológií nevenujú. Našu pôvodnú správu k tejto problematike, objasňujúcu základné princípy tejto zraniteľnosti ako aj najčastejšie rozšírené chybné názory môžete nájsť na našom blogu.

S odstupom času sme pozbierali dáta na analýzu stavu "slovenského internetu" v súvislosti s touto zraniteľnosťou. Za "slovenský internet" sa v tomto kontexte rozumejú webové servery prevádzkujúce webové domény v rámci top-level domény .sk.

Výsledky našej analýzy vychádzajú z dát zozbieraných dva týždne po zverejnení zraniteľnosti a reflektujú celosvetové výsledky ako aj výsledky pre jednotlivé krajiny, ktoré počet zraniteľných serverov stanovujú (v závislosti na čas zberu dát) na 2-5%. V rámci nami realizovaného testu na doméne .sk bolo identifikovaných 9417 domén prevádzkovaných na zraniteľných serveroch, čo reprezentuje 3.13% z celkového počtu 300815 testovaných domén (stav k 18.4.2014).

Štatistika zraniteľnosti Heartbleed na doménach v .sk: heartbleed

Test bol realizovaný v noci zo 17. na 18. Apríla 2014.

Vzhľadom na častokrát podceňovaný dopad tejto zraniteľnosti, ktorý predstavuje možná kompromitácia privátneho SSL kľúča, sme následne vykonali stručnú analýzu stavu SSL certifikátov realizovanú 9.5.2014, teda mesiac od prepuknutia problému.

Nasledovný diagram reprezentuje počet certifikátov obnovených v období 7.4.2014 - 9.5.2014. Za obnovený certifikát sa počíta certifikát ktorého doba "platnosti od" (Not Before) začína po dni zverejnenia zraniteľnosti 7.4.2014. Do úvahy sa pritom neberie dôvod (re)generovania certifikátu, či je to jeho prvotná inštalácia, predchádzajúca exspirácia, alebo regenerovanie z dôvodu potenciálnej kompromitácie. Iba samotný fakt, že za nekompromitovaný sa považuje certifikát generovaný po vydaní záplaty na danú zraniteľnosť. Taktiež celková vzorka zozbieraných certifikátov predstavuje všetky dostupné SSL certifikáty prevádzkované na doménach .sk, nie len na doménach detegovaných ako zraniteľné vo vyššie uvedenej štatistike, keďže nie je možné jednoznačne vyčleniť iba zraniteľné servery.

Z výsledkov analýzy vyplýva že v období 7.4.2014 - 9.5.2014 bol (re)generovaných 57114 certifikátov čo predstavuje 28.9% z celkového množstva 197606 dostupných certifikátov.

Štatistika certifikátov vydaných po zverejnení záplaty na zraniteľnosť heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

O ďalší mesiac neskôr, teda za obdobie 7.4.2014 - 6.6.2014, sa výsledky zlepšili iba o málo.

Štatistika zraniteľnosti Heartbleed na doménach v .sk heartbleed

Zbieranie certifikátov bolo realizované 6.6.2014.

Rýchlosť reakcie na danú zraniteľnosť je možné najlepšie demonštrovať nasledujúcim diagramom, reprezentujúcim počet certifikátov ktorých platnosť začína daným dňom. Prvý a najvýraznejší vrchol predstavuje 10. apríl 2014 reprezentujúci pregenerovanie certifikátov webhostingovou spoločnosťou Websupport. Druhý výrazný vrchol reprezentuje 4. máj 2014 a regenerovanie certifikátov Internet SK (FORPSI).

Počet obnovených certifikátov za deň po zverejnení záplaty na zraniteľnosť pre doménu .sk heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

Z pohľadu platnosti certifikátov je zaujímavým faktom, že 36855 analyzovaných certifikátov, 18.7% z celkového počtu, bolo v čase testu neplatných z dôvodu ich exspirácie.

Štatistika platnosti certifikátov pre doménu .sk heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

Celkový obraz už len dotvára posledná štatistika reprezentujúca počet certifikátov vydaných dôveryhodnými certifikačnými autoritami, voči takzvaným "self-signed" certifikátom. Tie v tomto prípade reprezentujú 26.7%, čo predstavuje 52804 certifikátov.

Štatistika dôveryhodnosti certifikátov pre doménu .sk heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

Zo zistených údajov jasne vidieť, ako sa k problematike heartbleed postavili správcovia IT na Slovensku. Drvivá väčšina systémov je opravená. Námatková kontrola neopravených ukázala, že ide zväčša o mŕtve, alebo inak nepodstatné projekty. Nepríjemnejšie zistenie je, že viac ako dve tretiny certifikátov zostali bez zmeny. To v praxi znamená, že dve tretiny súkromných kľúčov sú potenciálne kompromitované. V takom prípade dokáže útočník dotknutú šifrovanú komunikáciu dešifrovať.

Obrazne povedané - dve tretiny systémov mali niekoľko rokov kľúč od dverí pod rohožkou. Správcovia ho z pod rohožky odstránili, ale zámkovú vložku nechali pôvodnú. Spoliehajú sa na to, že si nikto nestihol spraviť vlastnú kópiu kľúču.

About the author

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Related posts

Citadelo Security Evening - jeseň 2017

Blog | | Citadelo
Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE)
Zobraziť

WPA2 prelomená. Viete ako ochrániť svoje dáta?

Blog | | Citadelo
Bezpečnostný analytik Mathy Vanhoef zverejnil širokej verejnosti vážnu bezpečnostnú chybu vo WPA2 protokole. WPA2 protokol sa bežne používa na šifrovanie komunikácie pri použití Wi-Fi, jeho predchodcovia sú WPA a WEP.
Zobraziť

Odhalili sme zraniteľnosť CMS Made Simple

Blog | | Citadelo
CMS Made Simple je voľne dostupný, open source CMS. Pozreli sme sa bližšie na zraniteľnosť CMS Made Simple a o výsledok sme sa s vami podelili.
Zobraziť

Úspešne sme absolvovali certifikáciu OSCP

Blog | | Citadelo
OSCP je skúška, ktorá preverí teoretické aj praktické znalosti. Narozdiel od iných skúšok, OSCP a jej úspešné absolvovanie hovorí o určitej znalosti držitela certifikátu.
Zobraziť