Видео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Септември 2024)
През седмицата, откакто изследователите разкриха уязвимостта на Heartbleed в OpenSSL, имаше много дискусии за това какъв вид информация нападателите могат да получат в действителност, използвайки грешката. Оказва се доста.
Както Security Watch отбеляза по-рано, Heartbleed е името на грешка в OpenSSL, която изтича информация в паметта на компютъра. (Вижте страхотния комикс на XKCD, обясняващ недостатъка) Изследователите откриха, че идентификационните данни за вход, потребителската информация и друга информация могат да бъдат прихващани чрез използване на недостатъка. Експертите смятат, че би било възможно да се получи и личния ключ на сървъра по този начин.
Сертификатите и частните ключове се използват за проверка дали компютър (или мобилно устройство) се свързва с легитимен уебсайт и че цялата предавана информация е криптирана. Браузърите показват сигурна връзка с катинар и показват предупреждение, ако сертификатът е невалиден. Ако нападателите могат да откраднат частни ключове, те могат да създадат фалшив уебсайт, който да изглежда легитимен и да прихваща чувствителни потребителски данни. Те също така ще могат да дешифрират криптиран мрежов трафик.
Тестът за охранителен часовник
Любопитно да видим какво можем да направим със сървър, работещ с уязвима версия на OpenSSL, стартирахме екземпляр от Kali Linux и заредихме модула Heartbleed за Metasploit, рамка за тестване на проникване от Rapid7. Грешката беше достатъчно лесна за експлоатация и ние получихме низове от паметта на уязвимия сървър. Автоматизирахме процеса, за да продължим да удряме сървъра с повторни заявки, докато изпълняваме различни задачи на сървъра. След цял ден на провеждане на тестовете бяхме събрали много данни.
Получаването на потребителски имена, пароли и идентификационни номера на сесията се оказа доста лесно, въпреки че бяха погребани в рамките на нещо, което прилича на цял куп gobblygook. В сценарий на реалния живот, ако бях нападател, пълномощията могат да бъдат откраднати много бързо и крадено, без да се нуждаят от много технически познания. Има обаче елемент на късмет, тъй като заявката трябваше да удари сървъра в точното време, когато някой влезе или взаимодейства със сайта, за да получи информацията „в памет“. Сървърът също трябваше да удари дясната част от паметта и досега не сме виждали начин да контролираме това.
Няма събрани частни ключове в събраните ни данни. Това е добре, нали? Това означава, че въпреки опасенията ни за най-лошия сценарий, не е лесно да вземете ключове или сертификати от уязвимите сървъри - едно по-малко нещо, за което всички се тревожим в този свят след сърцето.
Дори и умните хора в Cloudflare, компания, която предоставя услуги за сигурност за уебсайтове, изглежда бяха съгласни, че това не е лесен процес. Не е невъзможно, но е трудно да се направи. "Прекарахме голяма част от времето в провеждането на обширни тестове, за да разберем какво може да бъде изложено чрез Heartbleed и по-специално, за да разберем дали частните SSL ключови данни са изложени на риск", първоначално написа Ник Съливан, системен инженер в Cloudflare блог на компанията миналата седмица. "Ако е възможно, това е най-малкото много трудно", добави Съливан.
Миналата седмица компанията създаде уязвим сървър и помоли общността за сигурност да се опита да получи частния ключ за криптиране на сървъра с помощта на грешката Heartbleed.
Но всъщност…
Сега идва силата на краудсорсинга. Девет часа след като Cloudflare постави предизвикателството си, изследовател по сигурността успешно получи частния ключ, след като изпрати 2, 5 милиона заявки до сървъра. Втори изследовател успя да направи същото с много по-малко заявки - около 100 000, каза Съливан. Още двама изследователи последваха костюма през уикенда.
"Този резултат ни напомня да не подценяваме силата на тълпата и подчертава опасността, породена от тази уязвимост", каза Съливан.
Върнахме се към нашата тестова настройка. Този път използвахме програмата на сърцето от Робърт Греъм, изпълнителен директор на Errata Security. Това отне часове, консумира много честотна лента и генерира тонове данни, но в крайна сметка получихме ключа. Сега трябва да се тестваме срещу други сървъри, за да сме сигурни, че това не е мощност. Security Watch също ще проучи как фактът, че OpenSSL е инсталиран на рутери и друго мрежово оборудване, излага тези устройства на риск. Ще актуализираме, когато имаме повече резултати.
Вместо да е малко вероятно, "всеки лесно може да получи частен ключ", заключи Греъм. Това е страшна мисъл.
