William Ischanoe: Heartbleed Bug

„V praxi se během penetračních testů ukazuje, že většina uživatelů bohužel používá stejná nebo podobná hesla pro více systémů. Případný útočník tak díky zranitelnosti na jednom z námi používaných serverů snadno získá přístupové údaje i pro systémy, které zmiňovanou chybou vůbec netrpí.

I když pravděpodobnost, že útočník napadne server zrovna v okamžiku naší autentizace, není vysoká. Výhodou útočníka je ale skutečnost, že nikdo jeho přístup na napadený server nikam nezaloguje. Proto má díky anonymizaci, využívání botnetu či falešně registrovaných cloud řešení téměř neomezené možnosti cílový server sledovat dlouhodobě. Pokud by se někomu nezdála šance, že někdo napadne náš server jako velká, pak bych rád varoval, že vzhledem k boomu nástrojů pro zneužívání této chyby, je pravděpodobnost relativně hodně vysoká.

Pokud v paměti napadnutelného počítače bude zpracováno heslo uživatele, uvidí ho i útočník a pak lze pomocí vyhledání informací o uživateli prostřednictvím sociálních sítí dohledat firmu, kde je zaměstnán a případně i oblíbené další servery, které navštěvuje. Jelikož téměř každá firma dnes nabízí VPN připojení nebo připojení k mail serveru prostřednictvím webových stránek, dají se naše autentizační údaje z jednoho napadeného serveru brát jako pozvánka ke zbytku naší elektronické identity – v horším případě včetně té firemní. Uvedené varování na změnu hesel by tedy měli brát vážně především všichni uživatelé, které používají podobná či v horším případě stejná hesla pro více přístupů.“