Мы считаем, что кража приватных ключей на большинстве серверов NGINX по крайней мере крайне затруднительна и, вероятно, невозможна. Мы уверены, что даже при использовании Apache, который, как мы считаем, может быть чуть более уязвимым, и который мы в CloudFlare не используем, вероятность раскрытия SSL-ключей с помощью уязвимости Heartbleed крайне мала. Это одна из немногих хороших новостей за эту неделю.
Ряд интернет-СМИ уже процитировали это исследование (пример) и на его основе уверенно заявили, что кража приватных ключей с помощью Heartbleed невозможна. Как оказалось, исследователи CloudFlare оказались неправы.
Представители CloudFlare решили обратиться к хакерскому сообществу. Приблизительно двенадцать часов назад на Hacker News они даже назначили награду в 10 тыс. долларов за первое успешное выполнение конкурсных условий. Участникам предлагалось извлечь приватные ключи со специально созданного для этого сервера, доступного по доменному имени cloudflarechallenge.com, и опубликовать детали решения задачи. На сервере был запущен nginx-1.5.13 и OpenSSL 1.0.1.f под управлением Ubuntu 13.10 x86_64.
Несколько часов назад появился один, а затем второй победитель. Первым с задачей справился москвич Фёдор Индутный. Для этого ему понадобилось 2.5 млн. запросов (это составило почти треть от всех запросов) и всего лишь 3 часа. Фёдор даже предложил настроить параметры файла hosts для перенаправления доменного имени cloudflarechallenge.com на его сервер для демонстрации владения приватным ключом с помощью установления HTTPS-соединения. Вторым с отставанием в 50 минут оказался Илкка Маттила из Национального центра по компьютерной защите Финляндии со 100 тыс. запросов.
Таким образом даже после исправления уязвимости Heartbleed есть ненулевая вероятность атак с использованием украденного ранее приватного ключа до того, как он будет обновлён. Результаты конкурса также опровергают исследование CloudFlare. Судя по всему, детали решения и выводы будут опубликованы в ближайшее время.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий