¿Puede una herramienta externa determinar con precisión la vulnerabilidad actual de un sitio a Heartbleed? ¿Si es así, cómo? ¿Qué tiene que ser probado? ¿Qué características se requieren?
vvvvvvvvvv UPDATE 1
¿Qué funciones se requieren para determinar si un sitio vulnerable fue remediado?
¿Cómo se determina que es hora de actualizar la contraseña?
Si usamos una herramienta como las que se mencionan a continuación, ¿qué debería revisar la herramienta? Esto podría incluir:
¿Se está utilizando OpenSSL?
¿Es la versión de OpenSSL vulnerable?
Si la versión vulnerable, ¿se permite el latido del corazón?
¿Se actualizaron las claves?
Supongo que las contraseñas se actualizarán. La cuestión más importante de determinar si una contraseña "realmente" necesita actualizarse es demasiado difícil en un gran número de sitios. Me conformaré con solo saber cuándo puedo seguir adelante y actualizarlos. Hay varias herramientas disponibles, pero no estoy seguro de que sean completas / precisas.
^^^^^^^^^^
Si bien a todos nos gustaría saber para cada sitio durante qué período, si lo hubo, fue directamente vulnerable a Heartbleed, ese es un problema bastante difícil. Aún más deseable y difícil: fue violado el sitio y lo que se perdió.
Para los fines mucho más limitados de saber si es seguro / es hora de actualizar una (s) contraseña (s) del sitio, debemos determinar si un sitio es actualmente vulnerable a Heartblood o no. El "no" puede ser por remediación o porque el sitio no puede ser explotado (software diferente) pero para los propósitos de esta pregunta, asuma que todas las contraseñas del sitio serán cambiadas pero solo si / cuando el sitio respectivo no está actualmente vulnerable.
Las contraseñas anti-débiles proporcionaron la lista más completa de comprobadores de vulnerabilidad de Heartbleed para los sitios (ver más abajo) que he visto en respuesta a: HeartBleed - Cómo detectar sitios web comprometidos LastPass también tiene un verificador de vulnerabilidad del sitio: enlace ChromeBleed es una extensión de Chrome para identificar sitios vulnerables: enlace
En este momento, sin embargo, hay varias vulnerabilidades de Heartbleed detectores / verificadores que voy a enumerar para la comunidad.
Qualys SSL Labs es más o menos el sitio canónico de prueba de SSL gratuito; ellos Hace unas horas se agregó una prueba experimental de Heartbleed (y se estableció la seguridad). Califique con F para cada sitio que se encuentre vulnerable.
titanous on github parece estar todavía en desarrollo activo, y Titanous también lanzó el código de programación Go para la detección de Heartbleed, Tenía mejores mensajes que Filippo a partir de esta mañana, y fue el último actualizado hace 32 minutos Sin embargo, parece estar bajo la licencia Go No hice una comparación completa; similar a una licencia BSD 3 cláusula.
Filippo.io fue uno de los primeros sitios web, y lanzaron su código en github con una licencia MIT (lenguaje de programación Go), y fue última actualización hace 4 horas.
musalbas en github lanzó el programa Python "ssltest.py" alrededor de 10 Hace horas que pueden hacer pruebas masivas / masivas en solo 178 líneas (incluyendo una algunos comentarios), no hay licencia en la lista. Musalbas también lanzó listas de los resultados de escanear los 100, 1000, 10000 y 1 millones de Internet principales sitios a partir de hace unas 7 horas. Esta es una variante del código de Stafford.
possible.lv es otro sitio web que hace una vulnerabilidad de Heartbleed exploraciones.
Codenomicon Defensics parece detectar también Heartbleed.
@Lekensteyn lanzó el verificador del cliente Python del marcapasos, modificó una Hace unas horas, así como la versión original de Stafford de ssltest.py. No se enumera ninguna licencia específica.
Metasploit también está obteniendo pruebas de Heartbleed muy rápidamente, incluyendo tanto la comprobación del servidor vinculada aquí como la comprobación del cliente desde @HDMoore y @Lekensteyn.