Video: VAROITUS: Akkuhappo voi syödä purjeveneen !!! (Patrick Childressin purjehdus # 43) (Lokakuu 2024)
Viikolla sen jälkeen, kun tutkijat paljastivat Heartbleed-haavoittuvuuden OpenSSL: ssä, on keskusteltu paljon siitä, millaisia tietoja hyökkääjät voivat tosiasiassa saada hyödyntämällä virhettä. Näyttää melko paljon.
Kuten Security Watch on aiemmin todennut, Heartbleed on OpenSSL: n virheen nimi, joka vuotaa tietoja tietokoneen muistiin. (Katso XKCD: n hieno sarjakuva, joka selittää virheen.) Tutkijat havaitsivat, että kirjautumistiedot, käyttäjätiedot ja muut tiedot voidaan siepata hyödyntämällä virhettä. Asiantuntijat uskoivat, että myös palvelimen yksityinen avain olisi mahdollista hankkia tällä tavalla.
Varmenteita ja yksityisiä avaimia käytetään todentamaan, että tietokone (tai mobiililaite) on yhteydessä lailliseen verkkosivustoon ja että kaikki siirrettävät tiedot on salattu. Selaimet osoittavat turvallisen yhteyden riippulukolla ja osoittavat varoituksen, jos varmenne on virheellinen. Jos hyökkääjät voisivat varastaa yksityisiä avaimia, he voisivat perustaa väärennetyn verkkosivuston, joka näyttää lailliselta ja sieppaa arkaluontoiset käyttäjätiedot. He pystyisivät myös purkamaan salatun verkkoliikenteen.
Turvavalvontatesti
Haluatko nähdä, mitä voimme tehdä palvelimella, jolla on haavoittuva OpenSSL-versio, aloitimme Kali Linux -päivityksen ja latasimme Heartbleed-moduulin Metasploitille, Rapid7: n läpäisytestausjärjestelmän. Virheen hyödyntäminen oli tarpeeksi helppoa, ja saimme merkkijonot takaisin haavoittuvan palvelimen muistista. Automatisoimme prosessin lyödä palvelinta toistuvilla pyynnöillä suorittaessamme erilaisia tehtäviä palvelimella. Koko päivän testien suorittamisen jälkeen olimme keränneet paljon tietoa.
Käyttäjätunnusten, salasanojen ja istuntotunnusten hankkiminen osoittautui melko helpoksi, vaikka ne haudattiin kokonaisuuteen, joka näyttää paljon gobblygookista. Tosielämän skenaariossa, jos olisin hyökkääjä, valtakirjat voidaan varastaa erittäin nopeasti ja salaa ilman, että tarvitset paljon teknistä asiantuntemusta. Siinä on kuitenkin osa onnea, koska pyynnön oli osuttava palvelimeen oikeaan aikaan, kun joku kirjautui sisään tai oli vuorovaikutuksessa sivuston kanssa saadakseen tiedot "muistiin". Palvelimen oli myös löydettävä oikea muistiosa, ja toistaiseksi emme ole nähneet tapaa hallita sitä.
Kerätyissä tiedoissa ei näkynyt yksityisiä avaimia. Se on hyvä, eikö niin? Se tarkoittaa, että huolimatta pahimmassa tilanteessa olevista huolenaiheistamme, ei ole helppoa tarttua avaimiin tai varmenteisiin haavoittuvilla palvelimilla - yksi vähemmän asia, että meidän kaikkien on syytä huolehtia tässä sydämen synnyttämässä maailmassa.
Jopa verkkosivustojen tietoturvapalveluita tarjoavan Cloudflaren älykkäät henkilöt näyttivät olevan yhtä mieltä siitä, ettei se ollut helppo prosessi. Ei mahdotonta, mutta vaikea tehdä. "Olemme viettäneet suuren osan ajasta suorittamalla laajoja testejä selvittääksemme, mitä Heartbleedin avulla voidaan paljastaa, ja erityisesti ymmärtämään, oliko yksityiset SSL-avaintiedot vaarassa", Cloudflaren järjestelmäinsinööri Nick Sullivan kirjoitti alun perin yrityksen blogi viime viikolla. "Jos se on mahdollista, se on vähintään erittäin kova", Sullivan lisäsi.
Yhtiö perusti haavoittuvan palvelimen viime viikolla ja pyysi turvallisuusyhteisöä yrittämään hankkia palvelimen yksityinen salausavain Heartbleed-vian avulla.
Mutta oikeasti…
Nyt tulee joukkotilauksen voima. Yhdeksän tunnin kuluttua siitä, kun Cloudflare oli asettanut haasteensa, tietoturvatutkija hankki onnistuneesti yksityisen avaimen lähettäessään 2, 5 miljoonaa pyyntöä palvelimelle. Toinen tutkija onnistui tekemään saman paljon vähemmän pyynnöillä - noin 100 000, Sullivan sanoi. Kaksi muuta tutkijaa seurasi esimerkkiä viikonloppuna.
"Tämä tulos muistuttaa meitä olemaan aliarvioimatta väkijoukon valtaa ja korostaa tämän haavoittuvuuden aiheuttamaa vaaraa", Sullivan sanoi.
Palasimme takaisin testiasetuksiin. Tällä kertaa käytimme Heartrata-ohjelmaa Errata Securityn toimitusjohtaja Robert Grahamilta. Kesti tunteja, kulutti paljon kaistanleveyttä ja tuotti tonnia dataa, mutta lopulta saimme avaimen. Meidän on nyt testattava muita palvelimia vastaan varmistaaksemme, ettei tämä ollut epäselvyyttä. Security Watch tutkii myös, kuinka se, että OpenSSL on asennettu reitittimiin ja muihin verkkolaitteisiin, asettaa nämä laitteet vaarassa. Päivitämme, kun meillä on enemmän tuloksia.
Sen sijaan, että olisi epätodennäköistä, "kuka tahansa voi helposti saada yksityisen avaimen", Graham päätteli. Se on pelottava ajatus.
