Video: Heartbleed, Running the Code - Computerphile (Oktober 2024)
I uken siden forskere avslørte Heartbleed-sårbarheten i OpenSSL, har det vært mye diskusjon om hva slags informasjon angripere faktisk kan få ved å utnytte feilen. Viser seg ganske mye.
Som Security Watch har nevnt tidligere, er Heartbleed navnet på en feil i OpenSSL som lekker informasjon i datamaskinens minne. (Ta en titt på XKCDs store tegneserie som forklarer feilen) Forskere fant at innloggingsinformasjon, brukerinformasjon og annen informasjon kan bli avlyttet ved å utnytte feilen. Eksperter trodde det også ville være mulig å skaffe serverens private nøkkel.
Sertifikater og private nøkler brukes for å bekrefte at en datamaskin (eller mobil enhet) kobler til et legitimt nettsted og at all informasjon som sendes er kryptert. Nettlesere indikerer en sikker forbindelse med hengelås og viser en advarsel hvis sertifikatet er ugyldig. Hvis angripere kunne stjele private nøkler, kunne de sette opp et falsk nettsted som ville se legitim ut og fange sensitive brukerdata. De vil også kunne dekryptere kryptert nettverkstrafikk.
Sikkerhetsvakttesten
Nysgjerrig på å se hva vi kunne gjøre med en server som kjører en sårbar versjon av OpenSSL, vi startet opp en forekomst av Kali Linux og lastet inn Heartbleed-modulen for Metasploit, et rammeverk for penetrasjonstesting fra Rapid7. Feilen var enkel nok til å utnytte, og vi mottok strenger tilbake fra den sårbare serverens minne. Vi automatiserte prosessen for å fortsette å treffe serveren med gjentatte forespørsler mens vi utførte forskjellige oppgaver på serveren. Etter en hel dag med å kjøre testene, hadde vi samlet mye data.
Å få brukernavn, passord og økt-ID-er viste seg å være ganske enkelt, selv om de ble begravet i det som ser ut som en hel masse gobblygook. I et virkelighetsscenario, hvis jeg var en angriper, kan legitimasjonsbeskrivelsen bli stjålet veldig raskt og stealthily, uten å trenge mye teknisk ekspertise. Det er imidlertid et element av hell involvert siden forespørselen måtte treffe serveren til rett tid når noen logget inn eller samhandlet med nettstedet for å få informasjonen "i minnet." Serveren måtte også treffe den høyre delen av minnet, og foreløpig har vi ikke sett en måte å kontrollere det på.
Ingen private nøkler dukket opp i våre innsamlede data. Det er bra, ikke sant? Det betyr at til tross for bekymringene våre i verste fall, er det ikke lett å hente nøkler eller sertifikater fra sårbare servere - en mindre ting for oss alle å bekymre oss for i denne verden etter hjertet.
Selv de smarte menneskene på Cloudflare, et selskap som tilbyr sikkerhetstjenester for nettsteder, så ut til å være enige om at det ikke var en enkel prosess. Ikke umulig, men vanskelig å gjøre. "Vi har brukt mye av tiden på å kjøre omfattende tester for å finne ut hva som kan bli utsatt via Heartbleed og spesifikt for å forstå om private SSL-nøkkeldata var i faresonen, " skrev Nick Sullivan, systemingeniør hos Cloudflare, opprinnelig om selskapets blogg forrige uke. "Hvis det er mulig, er det på et minimum veldig vanskelig, " la Sullivan til.
Selskapet satte opp en sårbar server forrige uke og ba sikkerhetsfellesskapet prøve å skaffe serverens private krypteringsnøkkel ved hjelp av Heartbleed-feilen.
Men egentlig…
Nå kommer kraften i crowddsourcing. Ni timer etter at Cloudflare la opp sin utfordring, skaffet en sikkerhetsforsker den private nøkkelen med suksess etter å ha sendt 2, 5 millioner forespørsler til serveren. En annen forsker klarte å gjøre det samme med langt mindre forespørsler - omtrent 100 000, sa Sullivan. Ytterligere to forskere fulgte etter i løpet av helgen.
"Dette resultatet minner oss om ikke å undervurdere kraften til mengden og understreker faren som denne sårbarheten utgjør, " sa Sullivan.
Vi gikk tilbake til testoppsettet. Denne gangen brukte vi heartleech-programmet fra Robert Graham, administrerende direktør i Errata Security. Det tok timer, konsumerte mye båndbredde og genererte tonnevis med data, men vi fikk etter hvert nøkkelen. Vi må nå teste mot andre servere for å forsikre deg om at dette ikke var en fluke. Security Watch vil også undersøke hvordan det faktum at OpenSSL er installert på rutere og annet nettverksutstyr setter disse enhetene i fare. Vi vil oppdatere når vi har flere resultater.
I stedet for å være usannsynlig, "noen kan lett få en privat nøkkel, " konkluderte Graham. Det er en skummel tanke.
