Vídeo: Yanis Varoufakis: capitalism in crisis | DiEM25 (De novembre 2024)
Durant la setmana que els investigadors van revelar la vulnerabilitat Heartbleed a OpenSSL, hi ha hagut moltes discussions sobre el tipus d'informació que els atacants poden obtenir realment mitjançant l'explotació de l'error. Resulta bastant.
Com ha vist anteriorment Security Watch, Heartbleed és el nom d'un error a OpenSSL que es filtra informació a la memòria de l'ordinador. (Consulteu el còmic fantàstic de XKCD que explica el defecte) Els investigadors van trobar que es podien interceptar les credencials d’inici de sessió, la informació de l’usuari i altra informació mitjançant l’explotació del defecte. Els experts van pensar que també seria possible obtenir la clau privada del servidor d'aquesta manera.
Els certificats i les claus privades s’utilitzen per verificar que un ordinador (o dispositiu mòbil) es connecta amb un lloc web legítim i que tota la informació que s’està passant està xifrada. Els navegadors indiquen una connexió segura amb un cadenat i mostren un avís si el certificat no és vàlid. Si els atacants poguessin robar claus privades, podrien configurar un lloc web fals que semblaria legítim i que interceptés les dades sensibles dels usuaris. També podrien xifrar el trànsit de xarxa xifrat.
Test de vigilància de seguretat
Curiós en veure què podríem fer amb un servidor que executés una versió vulnerable d'OpenSSL, vam iniciar una instància de Kali Linux i vam carregar el mòdul Heartbleed per a Metasploit, un marc de proves de penetració de Rapid7. L’error era prou fàcil d’explotar i vam rebre cadenes de la memòria del servidor vulnerable. Hem automatitzat el procés per continuar colpejant el servidor amb peticions de repetició mentre realitzem diverses tasques al servidor. Després de tot un dia de córrer les proves, havíem recollit moltes dades.
Obtenir noms d’usuari, contrasenyes i identificadors de sessió van resultar bastant fàcils, tot i que es van enterrar dins del que sembla un gran bloc de notes. En un escenari de la vida real, si jo fos un atacant, es poden robar les credencials de forma molt ràpida i furtiva, sense necessitat de molta experiència tècnica. Tanmateix, hi ha un element de sort, ja que la sol·licitud va haver de comunicar-se amb el servidor en el moment adequat quan algú estava iniciant la sessió o interaccionava amb el lloc per obtenir la informació "a la memòria". El servidor també ha hagut de tocar la part dreta de la memòria i, fins ara, no hem vist cap manera de controlar-ho.
No hi ha cap clau privada a les dades recollides. És bo, oi? Significa que, malgrat les nostres preocupacions en els pitjors casos, no és fàcil agafar claus ni certificats de servidors vulnerables, una cosa menys que tots ens preocupem en aquest món post-Heartbleed.
Fins i tot la gent intel·ligent de Cloudflare, una empresa que proporciona serveis de seguretat per a llocs web, semblava estar d’acord que no era un procés fàcil. No és impossible, però difícil de fer. "Hem dedicat gran part del temps a realitzar proves àmplies per esbrinar què es pot exposar a través de Heartbleed i, concretament, per comprendre si hi havia risc de dades clau de SSL privades", va escriure inicialment Nick Sullivan, enginyer de sistemes de Cloudflare. blog de l'empresa la setmana passada. "Si és possible, és mínim molt dur", va afegir Sullivan.
La companyia va establir la setmana passada un servidor vulnerable i va demanar a la comunitat de seguretat que intentés obtenir la clau de xifrat privat del servidor mitjançant l'error Heartbleed.
Però, en realitat...
Ara ve el poder del crowdsourcing. Nou hores després que Cloudflare configurés el seu repte, un investigador de seguretat va obtenir la clau privada amb èxit després d’enviar 2, 5 milions de peticions al servidor. Sullivan va dir un segon investigador que va fer el mateix amb molt menys peticions, aproximadament 100.000. Durant el cap de setmana, dos investigadors més van seguir els mateixos.
"Aquest resultat recorda que no subestimem el poder de la multitud i destaca el perill que suposa aquesta vulnerabilitat", va dir Sullivan.
Vam tornar a la configuració de la prova. Aquesta vegada, hem utilitzat el programa heartleech de Robert Graham, director general d'Errata Security. Va trigar hores, es va consumir molt ample de banda i es van generar tones de dades, però finalment es va obtenir la clau. Ara hem de testar contra altres servidors per assegurar-nos que no es tractés d'un descampat. Security Watch també explorarà com el fet que s’instal·li OpenSSL en routers i altres equips de xarxa posa en perill aquests dispositius. Actualitzarem quan tinguem més resultats.
En lloc de ser poc probable, "ningú pot obtenir una clau privada", va concloure Graham. Això és un pensament espantós.