ssl-heartbleed

SSL, Heartbleed a slovenský internet

Vyjadrenia a správy o zraniteľnosti "Heartbleed" (CVE-2014-0160) sa dostali takmer do všetkých médií, vrátane tých mainstreamových a to i tých ktoré sa zvyčajne témam z oblasti bezpečnosti alebo informačných technológií nevenujú. Našu pôvodnú správu k tejto problematike, objasňujúcu základné princípy tejto zraniteľnosti ako aj najčastejšie rozšírené chybné názory môžete nájsť na našom blogu.

S odstupom času sme pozbierali dáta na analýzu stavu "slovenského internetu" v súvislosti s touto zraniteľnosťou. Za "slovenský internet" sa v tomto kontexte rozumejú webové servery prevádzkujúce webové domény v rámci top-level domény .sk.

Výsledky našej analýzy vychádzajú z dát zozbieraných dva týždne po zverejnení zraniteľnosti a reflektujú celosvetové výsledky ako aj výsledky pre jednotlivé krajiny, ktoré počet zraniteľných serverov stanovujú (v závislosti na čas zberu dát) na 2-5%. V rámci nami realizovaného testu na doméne .sk bolo identifikovaných 9417 domén prevádzkovaných na zraniteľných serveroch, čo reprezentuje 3.13% z celkového počtu 300815 testovaných domén (stav k 18.4.2014).

Štatistika zraniteľnosti Heartbleed na doménach v .sk: heartbleed

Test bol realizovaný v noci zo 17. na 18. Apríla 2014.

Vzhľadom na častokrát podceňovaný dopad tejto zraniteľnosti, ktorý predstavuje možná kompromitácia privátneho SSL kľúča, sme následne vykonali stručnú analýzu stavu SSL certifikátov realizovanú 9.5.2014, teda mesiac od prepuknutia problému.

Nasledovný diagram reprezentuje počet certifikátov obnovených v období 7.4.2014 - 9.5.2014. Za obnovený certifikát sa počíta certifikát ktorého doba "platnosti od" (Not Before) začína po dni zverejnenia zraniteľnosti 7.4.2014. Do úvahy sa pritom neberie dôvod (re)generovania certifikátu, či je to jeho prvotná inštalácia, predchádzajúca exspirácia, alebo regenerovanie z dôvodu potenciálnej kompromitácie. Iba samotný fakt, že za nekompromitovaný sa považuje certifikát generovaný po vydaní záplaty na danú zraniteľnosť. Taktiež celková vzorka zozbieraných certifikátov predstavuje všetky dostupné SSL certifikáty prevádzkované na doménach .sk, nie len na doménach detegovaných ako zraniteľné vo vyššie uvedenej štatistike, keďže nie je možné jednoznačne vyčleniť iba zraniteľné servery.

Z výsledkov analýzy vyplýva že v období 7.4.2014 - 9.5.2014 bol (re)generovaných 57114 certifikátov čo predstavuje 28.9% z celkového množstva 197606 dostupných certifikátov.

Štatistika certifikátov vydaných po zverejnení záplaty na zraniteľnosť heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

O ďalší mesiac neskôr, teda za obdobie 7.4.2014 - 6.6.2014, sa výsledky zlepšili iba o málo.

Štatistika zraniteľnosti Heartbleed na doménach v .sk heartbleed

Zbieranie certifikátov bolo realizované 6.6.2014.

Rýchlosť reakcie na danú zraniteľnosť je možné najlepšie demonštrovať nasledujúcim diagramom, reprezentujúcim počet certifikátov ktorých platnosť začína daným dňom. Prvý a najvýraznejší vrchol predstavuje 10. apríl 2014 reprezentujúci pregenerovanie certifikátov webhostingovou spoločnosťou Websupport. Druhý výrazný vrchol reprezentuje 4. máj 2014 a regenerovanie certifikátov Internet SK (FORPSI).

Počet obnovených certifikátov za deň po zverejnení záplaty na zraniteľnosť pre doménu .sk heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

Z pohľadu platnosti certifikátov je zaujímavým faktom, že 36855 analyzovaných certifikátov, 18.7% z celkového počtu, bolo v čase testu neplatných z dôvodu ich exspirácie.

Štatistika platnosti certifikátov pre doménu .sk heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

Celkový obraz už len dotvára posledná štatistika reprezentujúca počet certifikátov vydaných dôveryhodnými certifikačnými autoritami, voči takzvaným "self-signed" certifikátom. Tie v tomto prípade reprezentujú 26.7%, čo predstavuje 52804 certifikátov.

Štatistika dôveryhodnosti certifikátov pre doménu .sk heartbleed

Zbieranie certifikátov bolo realizované 9.5.2014.

Zo zistených údajov jasne vidieť, ako sa k problematike heartbleed postavili správcovia IT na Slovensku. Drvivá väčšina systémov je opravená. Námatková kontrola neopravených ukázala, že ide zväčša o mŕtve, alebo inak nepodstatné projekty. Nepríjemnejšie zistenie je, že viac ako dve tretiny certifikátov zostali bez zmeny. To v praxi znamená, že dve tretiny súkromných kľúčov sú potenciálne kompromitované. V takom prípade dokáže útočník dotknutú šifrovanú komunikáciu dešifrovať.

Obrazne povedané - dve tretiny systémov mali niekoľko rokov kľúč od dverí pod rohožkou. Správcovia ho z pod rohožky odstránili, ale zámkovú vložku nechali pôvodnú. Spoliehajú sa na to, že si nikto nestihol spraviť vlastnú kópiu kľúču.

O autorovi

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Podobné blogy

Citadelo Security Evening - jar 2018

blog | | Michaela Gallee
Bizarné úniky firemných dát alebo ako si uchovať svoju virtuálnu peňaženku alebo ako sa uchrániť pred fenoménom "Black Swan". To sú témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE), ktorý sa konal vo štvrtok 26.4.2018 u nás v Citadelo.
Zobraziť

Počítačová kriminalita – sme často obeťami hackerských útokov?

blog |
Už dávno neplatí, že v ohrození sú len medzinárodné spoločnosti alebo tí, čo disponujú hodnotným majetkom. Zločinci si pri útoku cez internet len málokedy vyberajú jednotlivcov - ich terčom sú masy.
Zobraziť

Bezpečnosť na internete - Viete sa správať v online priestore bezpečne?

blog |
Priemerný človek strávi na internete každý deň 3 hodiny a 20 minút. Okrem užitočných informácií a zábavy ale na nás čaká v online svete aj veľké množstvo hrozieb.
Zobraziť

Citadelo na novom a ešte bezpečnejšom webe

Blog | | Michaela Gallee
Naša požiadavka na bezpečný web sa môže niekomu zdať prehnaná, nie sme predsa svetová banka. To však nič nemení na tom, že našou víziou je bezpečný internet a preto naša priorita bola kladená na bezpečnosť.
Zobraziť