Klapka! Heartbleed po stopadesáté!

Pravděpodobně neexistuje nikdo z IT oboru, kdo by nezaznamenal chybu v knihovně OpenSSL nazvanou Heartbleed. Mnoho z nás si s ní užilo své, ať již při patchování serverů, vydávání nových certifikátů či při pomoci uživatelům se změnami jejich hesel.

CSIRT.CZ jsme se navíc zaměřili také na prevenci, protože i když byla tato chyba skutečně značně medializovaná, stále mohou existovat služby, které jsou vůči ní zranitelné. Proto jsme se ve spolupráci s Laboratořemi CZ.NIC pustili do skenování českých webů právě na tuto zranitelnost. Po dokončení skenování bychom rádi kontaktovali příslušné správce a informovali je o riziku, které by mohla tato zranitelnost pro jimi provozované služby a jejich uživatele představovat.

V první vlně jsme se zaměřili na weby státní správy a samosprávy. Tuto akci jsme dokončili hned začátkem minulého týdne. Otestováno bylo celkem 369 stránek, přičemž pouze sedm z nich trpělo zranitelností Heartbleed. To je pro státní správu opravdu pěkný a lichotivý výsledek. Domény nalezené během této první vlny jsme předali kolegům z vládního csirtu, kteří se s jednotlivými správci dohodnou na konkrétním dořešení situace. Skenování však odhalilo i některé další problémy těchto webů, je tedy možné, že se časem pustíme i do nějakého komplexnějšího testu.

Až dokončíme kompletní test IP prostoru v ČR, budeme mít kompletní přehled o rozšíření zranitelnosti Heartbleed. Už teď ale snad mohu prozradit, že toto není jediná preventivní akce, do které se letos pouštíme. Původní plán na tento rok, ke kterému se vrátíme hned, jak uzavřeme již započatou misi, je provést detekci webů v doméně .cz, běžících na starých a zranitelných verzích nejrůznějších CMS. Chtěli bychom tak zredukovat počet webových stránek, které jsou nebezpečné jak sami sobě, tak především svým uživatelům.

Aktualizace, 28. dubna 2014: Po publikování tohoto příspěvku jsme dostali výsledek druhé vlny testování. Během minulého týdne byla opravena většina ze sedmi zranitelných webů státní správy, takže nyní již touto zranitelností trpí pouze 2 z 369 webů státní správy, které máme v našem seznamu.

Autor:

Komentáře (4)

  1. Někdo říká:

    „Až dokončíme kompletní test IP prostoru v ČR“ – nejspíš je myšlený jenom IPv4 prostor, že? A nejspíš testujete pouze vybrané porty – jenom 443, nebo ještě jiné?

  2. Pavel Bašta říká:

    Děkuji za oba dotazy.
    Někdo: Pokud jde o rozsah skenování, myšlen byl IPv4 prostor a rozsah portů byl rozšířen na všechny, kterých se může použití OpenSSL týkat, tedy například také portů 465,993 a několika dalších.

    Michal Špaček: Škoda, že jsme o téhle možnosti nevěděli dříve, mohli jsme možnou spolupráci prodiskutovat. Pokud bychom se rozhodli udělat další kolo, tak bych se na Vás s dovolením obrátil.

  3. Dobry den,

    tento scan bol robeny pythonovym skriptom, takze trval
    734 * 3.5 sekundy (lebo www. aj bez http://www., a okrem tych 369 domen to boli aj nejake dalsie domeny, ktore s danou domenou suviseli)

    IPv6 scanovat nebudeme, lebo nevieme o port scanneri, ktory by vedel oscanovat IPv6 rozsahy za relativne kratky cas

Zanechte komentář