Vlákno názorů k článku Heartbleed Bug: jak se k chybě v OpenSSL staví české i světové firmy od Michal - Když jsem se o téhle chybě dočetl na...
-
Michal (neregistrovaný)
Když jsem se o téhle chybě dočetl na BBC, tak jsem šel na Lupu, kde jsem čekal nějaký detailnější rozbor, ale nenašel jsem nic. Postupně se objevil předchozí i tenhle článek. Oba mě ale dost zklamaly, protože takovýhle článek bych čekal spíše na IDNES, než na Lupě.
Technických detailů je pomálu, vlastně jen "Chyba v knihovně OpenSSL, ..., teoreticky umožňuje odposlechnutí zašifrovaných údajů – včetně například privátních klíčů." a v předchozím článku "Chyba umožňuje útočníkům bez omezení číst údaje zašifrované přes SSL/TSL – včetně například privátních klíčů a dalších dat."
Tenhle popis je ale nejen dost neurčitý, ale IMO prostě chybný, protože podle https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 chyba není o "odposlechnutí zašifrovaných údajů", ale o možnosti nechat si posílat úseky z paměti serveru, na který se útočník připojí. To znamená číst údaje, které nikdy nebyly přes SSL spojení přeneseny (a ani nemusí být zašifrované). To znamená leccos, co má zrovna server v paměti, což mohou být např. jeho privátní klíče. Což je něco dost jiného, než odposlech šifrované komunikace.
-
mc (neregistrovaný)
Pokud získáte privátní klíč serveru, můžete pak komunikaci odposlouchávat a to dokonce i včase, když už je server zaplátován (pokud nezměnil klíč a nezneplatnil předchozí certifikát).
Nicméně souhlasím, že bych čekal větší rozbor.
Tahle chyba mi připadá opravdu gigantická. Dokonce paradoxně se dá říci, že servery, které nepoužívají šifrování jsou snad na tom líp. Přece jen odposlouchávat komunikaci nemůže každý (je nutné například být někde na cestě komunikace, či je nutné použít techniky, které tok nasměřují přes Vás, ale to nemusí být obecně jednoduché).
Zde ovšem došlo k šílené věci. Bylo možné si číst v paměti serveru a získávat hesla (protože server rád poskytl segmenty paměti). Navíc je to zpětně téměř nedohledatelné, že někdo něco takového dělal. Tohle je snad sen NSA.
-
David SlížekPodporovatelDobrý den, pokud použiji parafrázi: mohli bychom na tato témata napsat krátkou zprávu, a krásnou :) Ale myslím, že potřebují o dost hlubší rozbor - zvlášť ta o "legálním stahování" a poplatcích za kopie. Připravujeme jej na začátek příštího týdne.
-
Zen (neregistrovaný)
Dobry rozbor je na http://www.root.cz/clanky/heartbleed-bug-vazna-zranitelnost-v-openssl/
-
Jarda Kuba (neregistrovaný)
Mě zase trochu mrzí, že na Lupě (v době psaní tohoto příspěvku) není ani čárka o posledních rozsudcích soudu v EU o data retention a výpalném za cd/dvd/usb atd., na což navazuje i další důležitá informace o stahování autorsky chráněných děl pro vlastní potřebu z nelegálního zdroje. Chlapci, vstávat, cvičit a psát, už jste předvedli, že psát umíte, tak hurá do toho! :-)
