Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (November 2024)
V apríli sme sa dozvedeli, že chyba v populárnej knižnici kódov OpenSSL by mohla útočníkom umožniť zozbierať pamäť z údajne bezpečných serverov, čo by potenciálne mohlo zachytiť prihlasovacie údaje, súkromné kľúče a ďalšie. Táto chyba, nazývaná „srdcom“, existovala roky predtým, ako bola objavená. Väčšina diskusií o tejto chybe predpokladala, že ju hackeri použijú proti zabezpečeným serverom. Nová správa však ukazuje, že ju možno ľahko využiť na serveroch aj na koncových bodoch so systémom Linux a Android.
Luis Grangeia, výskumný pracovník v spoločnosti SysValue, vytvoril knižnicu kódov s konceptom koncepcie, ktorú nazýva „Cupid“. Cupid pozostáva z dvoch záplat k existujúcim knižniciam kódov Linux. Jeden umožňuje „zlému serveru“ využívať Heartbleed na zraniteľných klientov Linux a Android, zatiaľ čo druhý umožňuje „zlému klientovi“ útočiť na Linuxové servery. Grangeia sprístupnila zdrojový kód voľne v nádeji, že sa k nemu pripoja ďalší vedci, aby sa dozvedeli viac o tom, aké druhy útokov sú možné.
Nie všetky sú zraniteľné
Cupid konkrétne pracuje s bezdrôtovými sieťami, ktoré používajú protokol EAP (Extensible Authentication Protocol). Váš domáci bezdrôtový smerovač takmer určite nepoužíva EAP, ale väčšina riešení na úrovni podniku áno. Podľa Grangeia dokonca niektoré káblové siete používajú EAP, a preto by boli zraniteľné.
Systém prepojený s kódom Cupid má tri príležitosti na získanie údajov z pamäte obete. Môže zaútočiť skôr, ako sa uskutoční bezpečné pripojenie, čo je trochu alarmujúce. Môže zaútočiť po podaní ruky, ktoré vytvára bezpečnosť. Alebo môže zaútočiť po zdieľaní aplikačných údajov.
Pokiaľ ide o to, čo dokáže zariadenie vybavené Cupidom zachytiť, Grangeia do značnej miery neurčila, že hoci „v rámci predbežnej inšpekcie boli nájdené zaujímavé veci na zraniteľných klientoch aj serveroch“. To, či tieto „zaujímavé veci“ môžu obsahovať súkromné kľúče alebo poverenia používateľa, ešte nie je známe. Jedným z dôvodov uvoľnenia zdrojového kódu je získanie väčšieho množstva mozgov pri zisťovaní takýchto podrobností.
Čo môžeš urobiť?
Android 4.1.0 a 4.1.1 používajú zraniteľnú verziu OpenSSL. Podľa správy od spoločnosti Bluebox sú novšie verzie technicky zraniteľné, ale systém posielania tepu je deaktivovaný, čo spoločnosti Heartbleed nič nevyužíva.
Ak vaše zariadenie s Androidom používa verzie 4.1.0 alebo 4.1.1, inovujte, ak je to možné. Ak nie, Grangeia odporúča, aby ste sa vyhli pripojeniu k neznámym bezdrôtovým sieťam, pokiaľ nevykonáte aktualizáciu svojej ROM.
Systémy Linux, ktoré sa pripájajú prostredníctvom bezdrôtovej siete, sú zraniteľné, pokiaľ nie je oprava OpenSSL. Tí, ktorí používajú takéto systémy, by si mali skontrolovať, či je záplata na svojom mieste.
Pokiaľ ide o podnikové siete, ktoré používajú EAP, Grangeia navrhuje, aby systém otestovali spoločnosť SysValue alebo iná agentúra.
Mac, boxy Windows a zariadenia iOS nie sú ovplyvnené. Pre Linux sú to problémy. Tu si môžete prečítať celý príspevok Grangeie alebo si pozrieť prezentáciu prezentácie tu. Ak ste výskumník sami, možno budete chcieť tento kód chytiť a urobiť trochu experimentovania.