Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Oktober 2024)
I ugen, siden forskere afslørede Heartbleed-sårbarheden i OpenSSL, har der været meget diskussion om, hvilken slags information angribere faktisk kan få ved at udnytte fejlen. Slår meget ud.
Som Security Watch har bemærket tidligere, er Heartbleed navnet på en fejl i OpenSSL, der lækker information i computerens hukommelse. (Se XKCDs store tegneserie, der forklarer fejlen) Forskere fandt, at login-legitimationsoplysninger, brugerinformation og andre oplysninger kunne blive aflyttet ved at udnytte fejlen. Eksperter troede, at det også ville være muligt at få serverens private nøgle på denne måde.
Certifikater og private nøgler bruges til at kontrollere, at en computer (eller mobil enhed) opretter forbindelse til et legitimt websted, og at al information, der videregives, er krypteret. Browsere angiver en sikker forbindelse med en hængelås og viser en advarsel, hvis certifikatet er ugyldigt. Hvis angribere kunne stjæle private nøgler, kunne de oprette et falsk websted, der ville se legitim ud og opfange følsomme brugerdata. De vil også være i stand til at dekryptere krypteret netværkstrafik.
Sikkerhedsvagttesten
Nysgerrig over at se, hvad vi kunne gøre med en server, der kører en sårbar version af OpenSSL, vi startede et eksempel på Kali Linux og indlæste Heartbleed-modulet til Metasploit, en ramme for penetrationstesting fra Rapid7. Fejlen var let nok til at udnytte, og vi modtog strenge tilbage fra den sårbare server's hukommelse. Vi automatiserede processen for fortsat at ramme serveren med gentagne anmodninger, mens vi udførte forskellige opgaver på serveren. Efter en hel dag med at køre testene, havde vi samlet en masse data.
At få brugernavne, adgangskoder og session-id'er viste sig at være ret let, selvom de blev begravet i det, der ligner en hel masse gobblygook. I et ægte livsscenarie, hvis jeg var en angriber, kan legitimationsoplysningerne stjæles meget hurtigt og stealthily uden at have brug for meget teknisk ekspertise. Der er dog et element af held involveret, da anmodningen måtte ramme serveren på det rigtige tidspunkt, når nogen logger på eller interagerede med webstedet for at få oplysningerne "i hukommelsen." Serveren måtte også ramme den rigtige del af hukommelsen, og vi har endnu ikke set en måde at kontrollere det på.
Ingen private nøgler dukkede op i vores indsamlede data. Det er godt, ikke? Det betyder trods vores værste tilfælde, at det ikke er nemt at få fat i nøgler eller certifikater fra sårbare servere - en mindre ting for os alle at bekymre os om i denne post-Heartbleed verden.
Selv de smarte folk på Cloudflare, et firma, der leverer sikkerhedstjenester til websteder, syntes at være enige om, at det ikke var en nem proces. Ikke umuligt, men svært at gøre. "Vi har brugt meget af tiden på at køre omfattende test for at finde ud af, hvad der kan udsættes via Heartbleed og specifikt for at forstå, om private SSL-nøgledata var i fare, " skrev Nick Sullivan, en systemingeniør hos Cloudflare, oprindeligt om virksomhedens blog sidste uge. "Hvis det er muligt, er det på et minimum meget hårdt, " tilføjede Sullivan.
Virksomheden oprettede en sårbar server i sidste uge og bad sikkerhedsfællesskabet om at prøve at få serverens private krypteringsnøgle ved hjælp af Heartbleed-bug.
Men faktisk...
Nu kommer kraften i crowddsourcing. Ni timer efter, at Cloudflare opsatte sin udfordring, fik en sikkerhedsforsker med succes den private nøgle efter at have sendt 2, 5 millioner anmodninger til serveren. En anden forsker formåede at gøre det samme med langt mindre anmodninger - ca. 100.000, sagde Sullivan. Yderligere to forskere fulgte efter i weekenden.
"Dette resultat minder os om ikke at undervurdere mængden af mængden og understreger faren ved denne sårbarhed, " sagde Sullivan.
Vi gik tilbage til vores testopsætning. Denne gang brugte vi heartleech-programmet fra Robert Graham, administrerende direktør for Errata Security. Det tog timer, forbrugte en masse båndbredde og genererede tonsvis af data, men vi fik til sidst nøglen. Vi er nu nødt til at teste mod andre servere for at sikre dig, at dette ikke var et fluke. Security Watch vil også undersøge, hvordan det faktum, at OpenSSL er installeret på routere og andet netværksudstyr, sætter disse enheder i fare. Vi opdaterer, når vi har flere resultater.
I stedet for at være usandsynlig, "kan nogen nemt få en privatnøgle, " konkluderede Graham. Det er en skræmmende tanke.
