Tot nu toe was niet duidelijk of het echt mogelijk was om de geheime sleutel van een server via de Heartbleed-bug te achterhalen. Het Amerikaanse bedrijf CloudFlare richtte daarom een “kwetsbare server” in en deed een beroep op de community om de private sleutel te stelen.
CloudFlare, een in de VS gevestigd content delivery network (CDN), wilde onderzoeken of iemand de geheime sleutel zou kunnen achterhalen van een server die nog draait met een OpenSSL-versie die nog kwetsbaar is voor de Heartbleed-bug. Als test bouwden ze daarom een nginx-webserver op met een kwetsbare versie van OpenSSL. Vervolgens deze ze een oproep aan de security community om de private key te achterhalen. Slechts negen uur later lukte dat door twee onafhankelijke personen: Fedor Indutny, die het probleem als eerst oploste , moest de server daarvoor zo’n 2,5 miljoen keer benaderen. Tweede eindigde Ilkka Mattila, die honderdduizenden serververzoeken tegelijkertijd stuurde. Daarna lukte het nog twee mensen.
SSL-server
Tot die tijd was het niet geheel duidelijk of de kroonjuwelen van een SSL-server in de praktijk daadwerkelijk aan een reëel risico blootgesteld waren. Hoewel de ontdekkers van het lek beweerden dat ze de sleutels bij hun eigen server konden achterhalen, lukten pogingen om dit te reproduceren slechts zelden en alleen onder specifieke randvoorwaarden. Bijvoorbeeld dat het het eerste request direct na een reboot moest zijn. Cloudflare had vooraf theoretisch vastgesteld dat de kans op een dergelijke aanval erg klein zou zijn.
Deze inschatting van CloudFlare lijkt nu weerlegd. De organisatoren van de test verzekeren dat alle partijen alleen met de hulp van Heartbleed-exploits aan de geheime sleutel konden komen. Er waren dus geen andere achterdeurtjes. Het bedrijf had de testserver naar eigen zeggen slechts een keer gereboot.
Voor wie zijn certificaten nog niet heeft vernieuwd, wordt dat nu dus wel echt tijd. Onder bepaalde omstandigheden kan dit echter weer nieuwe problemen geven, aldus CloudFlare, want het certificaatmodel is niet ontworpen voor massale revokes. Het certificaat voor de website met daarop de uitdaging is inmiddels ingetrokken. Aan de andere kant houdt het bedrijf de site nog steeds actief , zodat gebruikers de veiligheid en instellingen van hun browser kunnen controleren . ( Ur/psm)
