Cloudflare propone el reto de conseguir su llave privada con HeartBleed, y lo superan en horas
En Cloudflare admitieron que la vulnerabilidad conocida como HeartBleed es muy grave, sin embargo, pensaban que conseguir la clave privada del servidor sería muy difícil haciendo uso de esta vulnerabilidad. Conseguir esta clave tendría como consecuencia revocar los certificados SSL y volver a crear unos nuevos ya que de lo contrario el atacante podría descifrar todo el tráfico.
En Cloudflare tuvieron conocimiento de esta vulnerabilidad 12 días antes de que se hiciera pública, y tras sus investigaciones han declarado que no parece probable que se pueda conseguir la clave privada real del servidor, sin embargo sí se pueden conseguir datos de claves privadas de clientes que han iniciado sesión recientemente.
En la página web oficial de Cloudflare explican detalladamente lo que permite hacer si se explota esta vulnerabilidad. Para demostrar a todo el mundo que están (estaban) en lo cierto, crearon un concurso para que investigadores en seguridad intentaran conseguir la clave privada con HeartBleed, y en unas cuantas horas lo han conseguido dos personas.
Fedor Indutny envió 2,5 millones de peticiones al servidor de Cloudflare preparado para el concurso, y finalmente consiguió la clave privada. El segundo participante que lo ha conseguido se llama Iikka Mattila y lo hizo con 100.000 peticiones al servidor de Cloudflare.
Con esta prueba real, en el que una empresa tan importante como Cloudflare retó a todo el mundo, se demuestra que este fallo de seguridad es más grave de lo que ellos pensaban (ya que no pensaban que las claves privadas del servidor se pudieran obtener).
Si eres el responsable de seguridad de tu empresa o el administrador de sistemas, te recomendamos que tomes las medidas necesarias para que tus sistemas no se vean comprometidos.