O chybě, zvané HeartBleed bug jsem psal už tady a pak tadyhle. Dnes musím napsat ještě do třetice, protože nové informace, analýzy a testy se množí a jsou opravdu zajímavé:
- Společnost CloudFlare, zabývající se počítačovou bezpečností, se rozhodla otestovat reálnou nebezpečnost HeartBleedu. Prví sami podle svých analýz usoudili, že nebezpečí sice existuje, ale jeho zneužití vyžaduje velmi sofistikovaný přístup. Aby si ale byli úplně jistí, vytvořili testovací server s ještě nezaplátovanou verzí OpenSSL knihovny (přesně Nginx-1.5.13 Web server s OpenSSL 1.0.1.f na Ubuntu 13.10 x86_64), vystavili jej na internet a vyzvali komunitu bezpečnostních geeků, aby jim ten server zkusil „hacknout“ – tedy abych byl přesný, zadání bylo: „Využít chyby v OpenSSL k získání privátního klíče serveru“. A co myslíte, jak to dopadlo? Během pár hodin se to jednotlivě podařilo čtyřem specialistům z různých částí světa, přičemž první byl Fedor Indutny z Moskvy. Já osobně tenhle výsledek považuji spíš za dobrou zprávu, protože
- se to podařilo JEN čtyřem extraspecialistům
- navíc i ten nejlepší na to potřeboval několik hodin
- bylo jasné zadání, vědělo se, že server je napadnutelný a byla jasná jeho adresa
- vědělo se, JAKOU NAPADNUTELNOST server obsahuje
- humbuk posledních dnů kolem HeartBleed bugu určitě donutil specialisty o tom něco nastudovat.
- DELL, HP, IBM a další výrobci HW už vydali opravené verze HW a SW nástrojů, obsahujících napadnutelnou OpenSSL knihovnu.
- Americký prezident, pan Obama, se vyjádřil ke svému předešlému vyjádření, ve kterém tvrdil, že je v pořádku, když NSA zamlčuje zjištěné bezpečnostní chyby a využívá je k získávání informací. Nyní prohlásil, že americká administrativa upřednostňuje zveřejnění zjištěných potenciálních hrozeb s výjimkou případů, kdy nezveřejnění je v zájmu národní bezpečnosti. Mně teda připadá, že řekl to samé jinými slovy – třeba se ale pletu, protože tohle už je umění politiků, kterému my, ajťáci, moc nerozumíme.
