4月11日、CloudFlareの研究者がブログに記事「 重要な質問に答える:Heartbleedを使用してプライベートSSLキーを取得できますか?」を公開しました。 」では、センセーショナルなハートブリードの脆弱性を使用して秘密鍵を抽出することが可能かどうか疑問に思いました。 サーバーのRAMから秘密鍵を抽出しようとして失敗しました。 その結果、研究者は、HeartbleedでSSL証明書を盗むことはほとんどないと結論付けました。
ほとんどのNGINXサーバーで秘密鍵を盗むことは、少なくとも非常に難しく、おそらく不可能だと考えています。 CloudFlareでは使用していないと思われるApacheを使用しても、Heartbleedの脆弱性を使用してSSLキーが公開される可能性は非常に小さいと確信しています。 これは今週の良いニュースの一つです。
いくつかのオンラインメディアはすでにこの研究を広め( 例 )、それに基づいてHeartbleedを使用した秘密鍵の盗難は不可能であると自信を持って述べています。 結局のところ、CloudFlareの研究者は間違っていました。
CloudFlareの代表者は、ハッカーコミュニティに連絡することにしました。 約12時間前、Hacker Newsで、CloudFlareと公式に提携していないサードパーティは、 コンテストの最初の成功に1万ドルの報酬をノミネートしました。 参加者は、ドメイン名cloudflarechallenge.comでアクセスできるこのサーバー用に特別に作成されたサーバーから秘密鍵を抽出し、問題の解決策の詳細を公開するように求められました。 サーバーはnginx-1.5.13を実行し、OpenSSL 1.0.1.fはUbuntu 13.10 x86_64を実行していました。
数時間前に、1つが現れ、2番目の勝者が現れました。 Muscovite Fyodor Indutny( donnerjack13589 )は、このタスクに最初に対処しました。 これを行うには、250万件のリクエスト(これは全リクエストのほぼ3分の1に相当)とわずか3時間しか必要としませんでした。 ヒョードルは、hostsファイルのパラメーターを設定してcloudflarechallenge.comドメイン名を自分のサーバーにリダイレクトし、HTTPS接続を確立して秘密鍵の所有権を示すことを提案しました。 50分遅れの2番目は、フィンランド国立コンピューター保護センターのIlkka Mattilaで、10万件のリクエストがありました。
したがって、Heartbleedの脆弱性を修正した後でも、更新される前に以前に盗まれた秘密キーを使用した攻撃の可能性はゼロではありません。 コンテストの結果はCloudFlareの研究にも反論します。 どうやら、決定と結論の詳細はまもなく公開されます。