Heartbleed – Worstcase : serversleutel kan worden gelezen

Redactie
0

heartbleed logoTot nu toe was niet duidelijk of het echt mogelijk was om de geheime sleutel van een server via de Heartbleed-bug te achterhalen. Het Amerikaanse bedrijf CloudFlare richtte daarom een “kwetsbare server” in en deed een beroep op de community om de private sleutel te stelen.

CloudFlare, een in de VS gevestigd content delivery network (CDN), wilde onderzoeken of iemand de geheime sleutel zou kunnen achterhalen van een server die nog draait met een OpenSSL-versie die nog kwetsbaar is voor de Heartbleed-bug. Als test bouwden ze daarom een nginx-webserver op met een kwetsbare versie van OpenSSL. Vervolgens deze ze een oproep aan de security community om de private key te achterhalen. Slechts negen uur later lukte dat door twee onafhankelijke personen: Fedor Indutny, die het probleem als eerst oploste , moest de server daarvoor zo’n 2,5 miljoen keer benaderen. Tweede eindigde Ilkka Mattila, die honderdduizenden serververzoeken tegelijkertijd stuurde. Daarna lukte het nog twee mensen.

SSL-server

Tot die tijd was het niet geheel duidelijk of de kroonjuwelen van een SSL-server in de praktijk daadwerkelijk aan een reëel risico blootgesteld waren. Hoewel de ontdekkers van het lek beweerden dat ze de sleutels bij hun eigen server konden achterhalen, lukten pogingen om dit te reproduceren slechts zelden en alleen onder specifieke randvoorwaarden. Bijvoorbeeld dat het het eerste request direct na een reboot moest zijn. Cloudflare had vooraf theoretisch vastgesteld dat de kans op een dergelijke aanval erg klein zou zijn.

Deze inschatting van CloudFlare lijkt nu weerlegd. De organisatoren van de test verzekeren dat alle partijen alleen met de hulp van Heartbleed-exploits aan de geheime sleutel konden komen. Er waren dus geen andere achterdeurtjes. Het bedrijf had de testserver naar eigen zeggen slechts een keer gereboot.

Voor wie zijn certificaten nog niet heeft vernieuwd, wordt dat nu dus wel echt tijd. Onder bepaalde omstandigheden kan dit echter weer nieuwe problemen geven, aldus CloudFlare, want het certificaatmodel is niet ontworpen voor massale revokes. Het certificaat voor de website met daarop de uitdaging is inmiddels ingetrokken. Aan de andere kant houdt het bedrijf de site nog steeds actief , zodat gebruikers de veiligheid en instellingen van hun browser kunnen controleren . ( Ur/psm)

Meer over

SSL

Deel dit artikel

Lees ook

Sony maakt muziek beschikbaar in 360 Reality Audio

Sony heeft de eerste 1000 tracks in zijn 360 Reality Audio formaat beschikbaar gemaakt. Volgens Sony biedt dit formaat een driedimensionale muziekbele...

Intel Comet Lake-S: Core i3-processors met vier rekeneenheden en acht threads

In een benchmark-database is de Core i3-10100 van Intel opgedoken. In tegenstelling tot de huidige generatie Core i3-cpu’s ondersteunt deze chip hyper...

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er