Video: Heartbleed Exploit - Discovery & Exploitation (November 2024)
Od týždňa, keď vedci odhalili zraniteľnosť Heartbleed v OpenSSL, sa veľa diskutovalo o tom, aký druh informácií útočníci môžu skutočne získať zneužitím chyby. Ukázalo sa, že je dosť.
Ako už Security Watch poznamenal vyššie, Heartbleed je názov chyby v OpenSSL, ktorá presakuje informácie do pamäte počítača. (Vyskúšajte skvelý komiks spoločnosti XKCD, ktorý vysvetľuje chybu) Vedci zistili, že prihlasovacie údaje, informácie o používateľovi a ďalšie informácie by sa mohli zachytiť zneužitím tejto chyby. Odborníci sa domnievali, že by bolo možné získať aj súkromný kľúč servera týmto spôsobom.
Certifikáty a súkromné kľúče sa používajú na overenie, či sa počítač (alebo mobilné zariadenie) pripája k legitímnej webovej stránke a či sú všetky prenášané informácie šifrované. Prehliadače označujú zabezpečené spojenie s visiacim zámkom a zobrazujú varovanie, ak je certifikát neplatný. Ak by útočníci mohli ukradnúť súkromné kľúče, mohli by vytvoriť falošnú webovú stránku, ktorá bude vyzerať legitímne a bude zachytávať citlivé údaje používateľa. Tiež by boli schopní dešifrovať šifrovanú sieťovú prevádzku.
Test bezpečnostnej kontroly
Zvedavo, čo by sme mohli urobiť so serverom so spustiteľnou zraniteľnou verziou OpenSSL, sme spustili inštanciu systému Kali Linux a naložili modul Heartbleed pre Metasploit, rámec pre penetračné testovanie od Rapid7. Chyba bola dostatočne ľahká na využitie a my sme dostali reťazce späť z pamäte zraniteľného servera. Automatizovali sme tento proces tak, aby sme opakovane zasiahli server a vykonávali rôzne úlohy na serveri. Po celom dni vykonávania testov sme zhromaždili veľa údajov.
Získanie používateľských mien, hesiel a ID relácií sa ukázalo byť pomerne ľahké, hoci boli pochovaní v rámci toho, čo vyzerá ako veľa gobblygook. V prípade skutočného života, ak som bol útočníkom, môžu byť poverovacie údaje odcudzené veľmi rýchlo a kradmo, bez toho, aby bolo potrebné veľa technických znalostí. Zahrnutý je však prvok šťastia, pretože požiadavka musela zasiahnuť server v pravý čas, keď sa niekto prihlasoval alebo interagoval s webom, aby sa informácie dostali do pamäte. Server tiež musel zasiahnuť správnu časť pamäte a doteraz sme nevideli spôsob, ako to ovládať.
V našich zhromaždených údajoch sa nezobrazili žiadne súkromné kľúče. To je dobré, však? Znamená to, že napriek obavám z najhoršieho scenára nie je ľahké uchopiť kľúče alebo certifikáty od zraniteľných serverov - o jednu vec menej sa všetci v tomto svete po srdci musíme obávať.
Dokonca aj inteligentní ľudia v spoločnosti Cloudflare, ktorá poskytuje bezpečnostné služby pre webové stránky, zdali súhlasiť, že to nebol ľahký proces. Nie je to nemožné, ale ťažké to urobiť. „Strávili sme veľa času rozsiahlymi testami, aby sme zistili, čo môže byť vystavené prostredníctvom Heartbleed, a konkrétne aby sme pochopili, či boli ohrozené súkromné údaje kľúča SSL, “ napísal Nick Sullivan, systémový inžinier v Cloudflare, blog spoločnosti minulý týždeň. „Ak je to možné, je to minimálne veľmi ťažké, “ dodal Sullivan.
Spoločnosť minulý týždeň zriadila zraniteľný server a požiadala komunitu zabezpečenia, aby sa pokúsila získať súkromný šifrovací kľúč servera pomocou chyby Heartbleed.
Ale v skutočnosti...
Teraz prichádza sila crowdsourcingu. Deväť hodín potom, čo Cloudflare stanovil svoju výzvu, výskumný pracovník v oblasti bezpečnosti úspešne získal súkromný kľúč po odoslaní 2, 5 milióna požiadaviek na server. Druhý výskumný pracovník dokázal urobiť to isté s oveľa menšími požiadavkami - okolo 100 000, povedal Sullivan. Cez víkend nasledovali ďalšie dva vedci.
"Tento výsledok nám pripomína, aby sme nepodceňovali silu davu a zdôrazňuje nebezpečenstvo, ktoré predstavuje táto zraniteľnosť, " uviedol Sullivan.
Vrátili sme sa do nastavenia testu. Tentokrát sme použili program heartleech od Roberta Grahama, generálneho riaditeľa Errata Security. Trvalo hodiny, spotrebovalo veľa pásma a vygenerovalo veľa údajov, ale nakoniec sme dostali kľúč. Teraz sa musíme otestovať proti iným serverom, aby sme sa uistili, že to nebola náhoda. Security Watch bude tiež skúmať, ako skutočnosť, že OpenSSL je nainštalovaný na smerovačoch a iných sieťových zariadeniach, vystavuje tieto zariadenia riziku. Budeme aktualizovať, keď dosiahneme viac výsledkov.
Skôr než nepravdepodobne „niekto môže ľahko získať súkromný kľúč, “ uzavrel Graham. To je strašidelná myšlienka.