Video: Элита: Опасный за пределами Инженерного обновления сезон 3 (Marraskuu 2024)
Huhtikuussa saimme tietää, että suositun OpenSSL-koodikirjaston virhe voi antaa hyökkääjien etsiä muistia oletettavasti suojatuilta palvelimilta, mahdollisesti tallentaa kirjautumistiedot, yksityiset avaimet ja paljon muuta. Kappaleeksi "Heartbleed", tämä vika oli olemassa vuosia ennen kuin se löydettiin. Useimmissa tämän virheen keskusteluissa oletetaan, että hakkerit käyttävät sitä suojattuja palvelimia vastaan. Uusi raportti osoittaa kuitenkin, että sitä voidaan helposti hyödyntää sekä palvelimissa että päätepisteissä, joissa on Linux ja Android.
SysValue-tutkija Luis Grangeia loi konseptikoodikirjasto, jota kutsutaan "Cupidiksi". Cupid koostuu kahdesta korjaustiedosta olemassa oleviin Linux-koodikirjastoihin. Yksi sallii "pahan palvelimen" hyödyntää Heartbleedia haavoittuvissa Linux- ja Android-asiakkaissa, kun taas toinen sallii "pahan asiakkaan" hyökätä Linux-palvelimiin. Grangeia on antanut lähdekoodin vapaasti saataville toivoen, että muut tutkijat liittyvät mukaan saadakseen lisätietoja siitä, millaiset hyökkäykset ovat mahdollisia.
Kaikki eivät ole haavoittuvia
Cupid toimii erityisesti langattomia verkkoja vastaan, jotka käyttävät EAP-protokollaa. Kodin langaton reitittimesi ei varmasti käytä EAP: tä, mutta suurin osa yritystason ratkaisuista käyttää sitä. Grangeian mukaan jopa jotkut kiinteät verkot käyttävät EAP: tä, joten ne olisivat haavoittuvia.
Cupid-koodilla pajatulla järjestelmällä on kolme mahdollisuutta tarttua tietoon uhrin muistista. Se voi hyökätä ennen suojatun yhteyden luomista, mikä on vähän huolestuttavaa. Se voi hyökätä turvallisuuden lisäävän kädenpuristuksen jälkeen. Tai se voi hyökätä, kun sovellustiedot on jaettu.
Mitä Cupid-laitteella voidaan siepata, Grangeia ei ole laajalti todennut, että vaikka "komea tarkastus löysi mielenkiintoisia juttuja sekä haavoittuvassa asemassa olevissa asiakkaissa että palvelimissa". Sitä, voivatko nämä "mielenkiintoiset jutut" sisältää yksityisiä avaimia tai käyttäjän valtuustietoja, ei vielä tiedä. Osa syystä lähdekoodin julkaisemiseen on saada enemmän aivoja etsimään sellaisia yksityiskohtia.
Mitä voit tehdä?
Android 4.1.0 ja 4.1.1 käyttävät molemmat haavoittuvaa OpenSSL-versiota. Blueboxin raportin mukaan myöhemmät versiot ovat teknisesti haavoittuvia, mutta sykeviestijärjestelmä on poistettu käytöstä, joten Heartbleedilla ei ole mitään hyödynnettävää.
Jos Android-laitteesi käyttää 4.1.0 tai 4.1.1, päivitä se, jos mahdollista. Jos ei, Grangeia kehottaa "välttämään yhteyksiä tuntemattomiin langattomiin verkkoihin, ellet päivitä ROM-levyä".
Langattoman yhteyden kautta muodostavat Linux-järjestelmät ovat haavoittuvia, ellei OpenSSL: ää ole korjattu. Tällaisia järjestelmiä käyttävien tulee tarkistaa uudelleen, että laastari on paikoillaan.
EAP: tä käyttävien yritysverkkojen osalta Grangeia ehdottaa, että ne saavat järjestelmän testaamaan SysValue tai jokin muu toimisto.
Tämä ei vaikuta Maciin, Windows-ruutuihin ja iOS-laitteisiin. Kerran, se on Linux, joka on vaikeuksissa. Voit lukea Grangeian koko viestin täältä tai katsella diaesityksen esitystä täältä. Jos olet tutkija itse, kannattaa ehkä tarttua koodiin ja tehdä vähän kokeiluja.