Heartbleed – Worstcase : serversleutel kan worden gelezen

Redactie
0

heartbleed logoTot nu toe was niet duidelijk of het echt mogelijk was om de geheime sleutel van een server via de Heartbleed-bug te achterhalen. Het Amerikaanse bedrijf CloudFlare richtte daarom een “kwetsbare server” in en deed een beroep op de community om de private sleutel te stelen.

CloudFlare, een in de VS gevestigd content delivery network (CDN), wilde onderzoeken of iemand de geheime sleutel zou kunnen achterhalen van een server die nog draait met een OpenSSL-versie die nog kwetsbaar is voor de Heartbleed-bug. Als test bouwden ze daarom een nginx-webserver op met een kwetsbare versie van OpenSSL. Vervolgens deze ze een oproep aan de security community om de private key te achterhalen. Slechts negen uur later lukte dat door twee onafhankelijke personen: Fedor Indutny, die het probleem als eerst oploste , moest de server daarvoor zo’n 2,5 miljoen keer benaderen. Tweede eindigde Ilkka Mattila, die honderdduizenden serververzoeken tegelijkertijd stuurde. Daarna lukte het nog twee mensen.

SSL-server

Tot die tijd was het niet geheel duidelijk of de kroonjuwelen van een SSL-server in de praktijk daadwerkelijk aan een reëel risico blootgesteld waren. Hoewel de ontdekkers van het lek beweerden dat ze de sleutels bij hun eigen server konden achterhalen, lukten pogingen om dit te reproduceren slechts zelden en alleen onder specifieke randvoorwaarden. Bijvoorbeeld dat het het eerste request direct na een reboot moest zijn. Cloudflare had vooraf theoretisch vastgesteld dat de kans op een dergelijke aanval erg klein zou zijn.

Deze inschatting van CloudFlare lijkt nu weerlegd. De organisatoren van de test verzekeren dat alle partijen alleen met de hulp van Heartbleed-exploits aan de geheime sleutel konden komen. Er waren dus geen andere achterdeurtjes. Het bedrijf had de testserver naar eigen zeggen slechts een keer gereboot.

Voor wie zijn certificaten nog niet heeft vernieuwd, wordt dat nu dus wel echt tijd. Onder bepaalde omstandigheden kan dit echter weer nieuwe problemen geven, aldus CloudFlare, want het certificaatmodel is niet ontworpen voor massale revokes. Het certificaat voor de website met daarop de uitdaging is inmiddels ingetrokken. Aan de andere kant houdt het bedrijf de site nog steeds actief , zodat gebruikers de veiligheid en instellingen van hun browser kunnen controleren . ( Ur/psm)

Meer over

SSL

Deel dit artikel

Lees ook

Hoge Ziggo inflatiecorrectie 2023 per 1 juli zorgt voor ophef bij klanten

De Ziggo inflatiecorrectie van 2023 die ingaat op 1 juli 2023 zorgt voor ophef bij de klanten. De provider past een inflatiecorrectie toe van gemiddel...

Google Play Games voor Windows komt eindelijk naar Europa

Na een periode van langdurig testen is het dan eindelijk zo ver: Google Play Games voor Windows wordt eindelijk beschikbaar in Europa. Met dit program...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er