Obrnuti Heartbleed
Iako je sada već uglavnom prošla "frka" oko Heartbleed propusta, još nije vrijeme za opuštanje. Pojavila se informacija da bi valjalo provjeriti i klijentsku stranu: naime, i aplikacije koje se vrte na klijentskoj strani, a koriste OpenSSL mogu biti ranjive na ovaj sigurnosni problem.
Dovoljno je da napadač sa inficiranog servera pošalje maliciozne Heartbeat pakete klijentu pa da mu isti odgovori vraćanjem sadržaja vlastite RAM memorije.
Ovo se upozorenje prvenstveno odnosi na programere koji imaju kakvu svoju aplikaciju u koju je ugrađena OpenSSL podrška. Oni, ali i svi ostali mogu provjeriti jesu li klijentski programi ranjivi posjetom stranici:
https://reverseheartbleed.com/
Više detalja o problemu na klijentskoj strani možete saznati ovdje:
http://blog.meldium.com/home/2014/4/10/testing-for-reverse-heartbleed
Kolega je na moj profil na društvenoj mreži poslao nekoliko korisnih savjeta vezanih uz Heartbleed problem koje želim dodijeliti s vama (zahvalimo Branimiru Severu!):
Savjeti za korisnike
- Chrome browser ekstenzija za provjeru trenutnog sajta dali je ranjiv s obzirom na Heartbleed bug:
- Android aplikacija za provjeru ranjivosti vlastitog uređaja:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector
- Android aplikacija koja omogućuje "navodno"(nisam imao priliku isprobati) dodatnu razinu zaštite android uređaja s fokusom na heartbleed bug:
https://play.google.com/store/apps/details?id=com.heartbleedprotect.joseph.cb
Za administratore
- Najbolji i najdetaljniji online testing tool za SSL web servere kojim sam probao, radi detaljnu analizu ne samo ranjivost vezano za Heartbleed bug te daju ukupnu ocjenu:
https://www.ssllabs.com/ssltest/
- Android aplikacija za testiranje vlastite mreže(nema potrebe za internet vezom, testiranje se izvodi unutar vlastite mreže):
https://play.google.com/store/apps/details?id=com.lesbg.heartbleedchecker
Nema nam druge, treba još jednom zasukati rukave i baciti se na posao!
- Logirajte se za dodavanje komentara
- Inačica za ispis
- PDF version