Dziury i wycieki tygodnia – SHA1 i Cloudbleed

Moja wiedza z zakresu bezpieczeństwa jest zdecydowanie zbyt mała, żebym mógł startować nawet do podstawowego zakresu wiedzy „bezpiecznika”. Dlatego zwykle posiłkuję się opiniami ludzi mądrzejszych, którzy w tych kwestiach wiele już widzieli i wiele wiedzą.

Ubiegły tydzień był dość obfity w głośne wydarzenia związane z zagadnieniem bezpieczeństwa. Z jednej strony „złamanie” SHA1, z którego korzysta wiele systemów (w tym np. raczej istotne dla developerów narzędzie – git). Z drugiej dziurawy Cloudflare, w którym bug parsera powodował wysyłanie kawałków pamięci (kawałki cache różnych stron, użytkowników Cloudflare) w sposób z grubsza losowy do zdecydowanie nieuprawnionych odbiorców.

Nie chcę się wdawać w szczegóły, zwłaszcza, że jak już napisałem, mogę ze swoją wiedzą najwyżej namieszać. Polecam jednak lekturę na oba tematy, bo jak o czymś jest głośno, to warto sięgnąć do porządnych źródeł i ogarnąć temat.

O SHA1 napisał Tomasz Onyszko, czyli rodzime podwórko – polecam bardzo – Cicho SHA1.
O problemie Cloudflare bardzo konkretnie z kolei wypowiedział się Troy Hunt, można powiedzieć wyciekowy celebryta 😉 ale naturalnie także świetny specjalista – Pragmatic thoughts on #CloudBleed.

Oba wpisy to kawał sensownej lektury – mnóstwo opinii, ale także odsyłaczy do informacji źródłowych, opisów problemu, wskazania chronologii powstawania informacji i historyczny umiejscowienie problemów. Rzetelne opracowania.

 

Dodaj komentarz