Video: Uresniči s(r)anje: Marin Medak at TEDxLjubljana (Oktober 2024)
V tednu, odkar so raziskovalci razkrili ranljivost Heartbleed v OpenSSL, se je veliko razpravljalo o tem, kakšne vrste napadalcev informacij lahko dejansko pridobijo z izkoriščanjem hrošča. Izkazalo se je precej.
Kot je Varnostni nadzor opazil že prej, je Heartbleed ime hrošča v OpenSSL, ki pušča informacije v računalniškem pomnilniku. (Oglejte si odličen strip XKCD, ki razlaga pomanjkljivost) Raziskovalci so ugotovili, da bi se z izkoriščanjem napake lahko prestregli poverilnice, podatki o uporabnikih in druge informacije. Strokovnjaki so menili, da bi bilo mogoče tudi na ta način pridobiti zasebni ključ strežnika.
Potrdila in zasebni ključi se uporabljajo za preverjanje, ali se računalnik (ali mobilna naprava) povezuje z zakonitim spletnim mestom in ali so vse posredovane informacije šifrirane. Brskalniki označujejo varno povezavo s ključavnico in opozarjajo, če certifikat ni veljaven. Če bi napadalci lahko ukradli zasebne ključe, bi lahko postavili ponarejeno spletno mesto, ki bi bilo videti zakonito in prestreglo občutljive uporabniške podatke. Prav tako bi lahko dešifrirali šifriran omrežni promet.
Test varnostne ure
Zanimivo smo videli, kaj lahko storimo s strežnikom, ki poganja ranljivo različico OpenSSL, zagnali smo primerek Kali Linux in naložili Heartbleed modul za Metasploit, okvir za testiranje penetracije iz Rapid7. Hrošč je bilo dovolj enostavno izkoristiti in prejeli smo strune iz spomina ranljivega strežnika. Proces smo avtomatizirali tako, da je med izvajanjem različnih nalog na strežniku zadel večkratne zahteve. Po celem dnevu izvajanja testov smo zbrali veliko podatkov.
Pridobivanje uporabniških imen, gesel in ID-jev seje se je izkazalo za dokaj enostavno, čeprav so bili zakopani znotraj tega, kar je videti kot cel kup gobblygook. V resničnem življenjskem scenariju, če bi bil napadalec, lahko poverilnice ukradem zelo hitro in prikrajšano, ne da bi potrebovali veliko tehničnega znanja. Vključen pa je element sreče, saj je zahteva morala ob strežniku ob pravem času zadeti strežnik, da bi informacije dobil "v spomin." Strežnik je prav tako moral zadeti desni del pomnilnika in doslej še nismo videli načina, kako to nadzorovati.
V naših zbranih podatkih ni bilo nobenih zasebnih ključev. To je dobro, kajne? To pomeni, da kljub našim najslabšim scenarijem ni enostavno zgrabiti ključev ali potrdil iz ranljivih strežnikov - ena stvar, ki nas v tem svetu po srcu skrbi, nas skrbi.
Tudi pametni ljudje v Cloudflareju, podjetju, ki zagotavlja varnostne storitve za spletne strani, so se strinjali, da to ni bil enostaven postopek. Ni nemogoče, a težko narediti. "Veliko časa smo porabili za obsežne teste, da smo ugotovili, kaj je mogoče izpostaviti prek Heartbleeda, in še posebej, da bi razumeli, ali so bili podatki o zasebnih ključih SSL ogroženi, " je uvodoma napisal Nick Sullivan, sistemski inženir v Cloudflareju blog podjetja prejšnji teden. "Če je mogoče, je vsaj zelo težko, " je dodal Sullivan.
Podjetje je prejšnji teden postavilo ranljiv strežnik in varnostno skupnost prosilo, da s hroščem Heartbleed poskuša pridobiti zasebni šifrirni ključ strežnika.
Toda pravzaprav...
Zdaj prihaja moč crowdsourcinga. Devet ur po tem, ko je Cloudflare postavil svoj izziv, je varnostni raziskovalec uspešno pridobil zasebni ključ, potem ko je strežniku poslal 2, 5 milijona zahtevkov. Drugemu raziskovalcu je to uspelo z veliko manj zahtevki - približno 100.000, je dejal Sullivan. Še dva raziskovalca sta si čez vikend sledila za to.
"Ta rezultat nas opominja, da ne podcenjujemo moči množice, in poudarja nevarnost, ki jo predstavlja ta ranljivost, " je dejal Sullivan.
Vrnili smo se k naši testni namestitvi. Tokrat smo uporabili program srčne govorice od Roberta Grahama, izvršnega direktorja Errata Security. To je trajalo ure, porabili veliko pasovne širine in ustvarili na tone podatkov, vendar smo na koncu dobili ključ. Zdaj se moramo preizkusiti pred drugimi strežniki in se prepričati, da to ni bila napačna. Security Watch bo raziskal tudi, kako dejstvo, da je OpenSSL nameščen na usmerjevalnike in drugo mrežno opremo, ogroža te naprave. Posodobili bomo, ko bomo imeli več rezultatov.
Namesto da bi bilo malo verjetno, "lahko vsakdo zlahka dobi zasebni ključ, " je zaključil Graham. To je strašljiva misel.
