HeartBleed-侵害されたWebサイトを検出する方法

エンドユーザーとして、簡単ではありませんが、攻撃者が自慢したり、サイト所有者がそれを発見したりしない限り、実際に何が失われているのかを知ることはできません。

技術的に熟練している場合は、Snortまたは別のIDS/IPSを実行しているすべてのユーザー（エンドユーザーまたはサイトオペレーター）が Snortルール形式のリアルタイム侵害のインジケーター を探すことができます。脆弱な場合も攻撃されます）。これは、誰かが過去にWebサイトを攻撃したかどうかはわかりませんが、誰かが今あなたを攻撃しているかどうかを知ることができます。

• alert tcp any [！80、！445]-> any [！80、！445]（msg： "FOX-SRT-疑わしい-SSLv3ラージハートビートレスポンス"; flow：established、to_client; content： "| 18 03 00 | "; depth：3; byte_test：2、>、200、3、big; byte_test：2、<、16385、3、big; threshold：type limit、track by_src、count 1、seconds 600; reference：cve、2014- 0160; classtype：bad-unknown; sid：1000000; rev：4;）

• alert tcp any [！80、！445]-> any [！80、！445]（msg： "FOX-SRT-Suspicious-TLSv1 Large Heartbeat Response"; flow：established、to_client; content： "| 18 03 01 | "; depth：3; byte_test：2、>、200、3、big; byte_test：2、<、16385、3、big; threshold：type limit、track by_src、count 1、seconds 600; reference：cve、2014- 0160; classtype：bad-unknown; sid：1000001; rev：4;）

• alert tcp any [！80、！445]-> any [！80、！445]（msg： "FOX-SRT-不審-TLSv1.1ラージハートビートレスポンス"; flow：established、to_client; content： "| 18 03 02 | ";深さ：3; byte_test：2、>、200、3、big; byte_test：2、<、16385、3、big;しきい値：タイプ制限、追跡by_src、カウント1、秒600;参照：cve、 2014-0160; classtype：bad-unknown; sid：1000002; rev：4;）

• alert tcp any [！80、！445]-> any [！80、！445]（msg： "FOX-SRT-不審-TLSv1.2ラージハートビートレスポンス"; flow：established、to_client; content： "| 18 03 03 | ";深さ：3; byte_test：2、>、200、3、big; byte_test：2、<、16385、3、big;しきい値：タイプ制限、追跡by_src、カウント1、秒600;参照：cve、 2014-0160; classtype：bad-unknown; sid：1000003; rev：4;）

サイトの所有者は、完全なパケットスニファトレースを記録していて、実際にハートビート要求の応答サイズを検査できたサイトの侵害を検出する可能性があります。それ以外は、事後発見が非常に難しいです。

サイトの所有者がそれを検出するための他の可能な方法は、トラフィック分析です。たとえば、64KBを超える送信応答が多すぎると、警告が表示されます。

ただし、現時点では、いくつかのHeartbleed脆弱性検出器/チェッカーがあり、コミュニティーにリストします。

Qualys SSL Labs は、多かれ少なかれ、標準的な無料のSSLテストサイトです。彼らは数時間前に実験的なHeartbleedテストを追加しました（そして、脆弱であることが判明したすべてのサイトのセキュリティグレードをFに設定しました。

githubのtitanous は現在も活発に開発されているようで、titanousもHeartbleed検出用のGoプログラミングコードをリリースし、今朝の時点でFilippoよりも優れたメッセージを出し、32分前に更新されました。完全な比較はしていませんが、Goライセンスの下にあるようです。 BSD 3条項ライセンスに似ています。

Filippo.io は最初のWebサイトの1つでした githubにコードをリリースしました MITライセンス（Goプログラミング言語） 、最終更新は4時間前です。

githubのMusalbas 約10時間前にPythonプログラム "ssltest.py"をリリースしました。これは、わずか178行（コメントを含む）で大量/バルクテストを実行できます）、 Musalbasはまた、約7時間前の時点で、トップ100、1000、10000、および100万のインターネットサイトをスキャンした結果のリストをリリースしました。これは、Staffordのコードの変種です。

possible.lv は、Heartbleed脆弱性スキャンを実行する別のWebサイトです。

Codenomicon Defensics は、Heartbleedも検出するようです。

@ Lekensteynが数時間前に変更されたペースメーカーpythonクライアントチェッカー をリリースしました。また、ssltest.pyのオリジナルのスタッフォードバージョンもリリースしました。特定のライセンスはリストされていません。

Metasploit も ここにリンクされているサーバーチェック と @ HDMooreと@Lekensteynからのクライアントチェック の両方を含め、Heartbleedテストを非常に迅速に取得しています。

@ DrJimBobごとに、LastPass Heartbleedチェッカー はWebチェッカーの非常に優れた設定です。特に、SSL証明書もチェックします！出力は次のようになります。

Site:   security.stackexchange.com
Server software:    Not reported
Vulnerable: Possibly (might use OpenSSL)
SSL Certificate:    Possibly Unsafe (created 9 months ago at Jul 2 00:00:00 2013 GMT)
Assessment: Wait for the site to update before changing your password