Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Oktober 2024)
I april lærte vi, at en fejl i det populære OpenSSL-kodebibliotek kunne give angribere mulighed for at hente hukommelse fra angiveligt sikre servere, potentielt fange loginoplysninger, private nøgler og mere. Døbt "Heartbleed", denne bug eksisterede i årevis, før den blev opdaget. De fleste diskussioner om denne fejl antog, at hackere ville bruge den mod sikre servere. En ny rapport viser imidlertid, at den let kan udnyttes på både servere og slutpunkter, der kører Linux og Android.
Luis Grangeia, en forsker på SysValue, oprettede et proof-of-concept-kodebibliotek, som han kalder "Cupid." Cupid består af to programrettelser til eksisterende Linux-kodebiblioteker. Den ene tillader en "ond server" at udnytte Heartbleed på sårbare Linux- og Android-klienter, mens den anden tillader en "ond klient" at angribe Linux-servere. Grangeia har gjort kildekoden frit tilgængelig i håb om, at andre forskere vil være med og lære mere om, hvad slags angreb der er muligt.
Ikke alle er sårbare
Cupid arbejder specifikt mod trådløse netværk, der bruger EAP (Extensible Authentication Protocol). Din trådløse hjemlige router bruger næsten bestemt ikke EAP, men det gør de fleste løsninger på Enterprise-niveau. Ifølge Grangeia bruger selv nogle kabelforbundne netværk EAP og ville derfor være sårbare.
Et system, der er lappet med Cupid-koden, har tre muligheder for at hente data fra offerets hukommelse. Det kan angribe, inden den sikre forbindelse til og med oprettes, hvilket er en smule alarmerende. Det kan angribe efter det håndtryk, der skaber sikkerhed. Eller det kan angribe, når applikationsdata er blevet delt.
Hvad angår bare hvad en Cupid-udstyret enhed kan fange, har Grangeia ikke i vid udstrækning bestemt, at skønt "flyveinspektion fandt interessante ting på både sårbare klienter og servere." Hvorvidt disse "interessante ting" muligvis inkluderer private nøgler eller brugeroplysninger vides endnu ikke. En del af grunden til at frigive kildekoden er at få flere hjerner, der arbejder med at opdage sådanne detaljer.
Hvad kan du gøre?
Android 4.1.0 og 4.1.1 bruger begge en sårbar version af OpenSSL. Ifølge en rapport fra Bluebox er senere versioner teknisk sårbare, men hjerteslagsmeddelelsessystemet er deaktiveret, hvilket giver Heartbleed intet at udnytte.
Hvis din Android-enhed kører 4.1.0 eller 4.1.1, skal du evt. Opgradere. Hvis ikke, anbefaler Grangeia, at "du bør undgå at oprette forbindelse til ukendte trådløse netværk, medmindre du opgraderer din ROM."
Linux-systemer, der opretter forbindelse via trådløs, er sårbare, medmindre OpenSSL er blevet lappet. Dem, der bruger sådanne systemer, skal dobbeltkontrol for at sikre, at patch'en er på plads.
Med hensyn til virksomhedsnetværk, der bruger EAP, foreslår Grangeia, at de får testet systemet af SysValue eller et andet agentur.
Mac, Windows-bokse og iOS-enheder påvirkes ikke. For en gangs skyld er det Linux, der er i problemer. Du kan læse Grangeias fulde indlæg her eller se en slideshow-præsentation her. Hvis du selv er forsker, kan du tage fat i koden og eksperimentere lidt.
