Видео: А ты мне нравишься так что потеют ладони😍😍😍 (Ноябрь 2024)
На той неделе, когда исследователи раскрыли уязвимость Heartbleed в OpenSSL, было много дискуссий о том, какую информацию злоумышленники могут получить, используя баг. Оказывается довольно много.
Как уже отмечалось в Security Watch, Heartbleed - это ошибка в OpenSSL, которая приводит к утечке информации в память компьютера. (Ознакомьтесь с замечательным комиксом XKCD, объясняющим недостаток) Исследователи обнаружили, что учетные данные для входа в систему, информация о пользователях и другая информация могут быть перехвачены путем использования недостатка. Эксперты полагали, что таким способом можно получить и закрытый ключ сервера.
Сертификаты и закрытые ключи используются для проверки того, что компьютер (или мобильное устройство) соединяется с законным веб-сайтом и что вся передаваемая информация зашифрована. Браузеры указывают на безопасное соединение с замком и показывают предупреждение, если сертификат недействителен. Если злоумышленники могут украсть личные ключи, они могут создать поддельный веб-сайт, который будет выглядеть законным и перехватывать конфиденциальные пользовательские данные. Они также смогут расшифровать зашифрованный сетевой трафик.
Тест службы безопасности
Любопытно посмотреть, что мы можем сделать с сервером, на котором установлена уязвимая версия OpenSSL, мы запустили экземпляр Kali Linux и загрузили модуль Heartbleed для Metasploit, инфраструктуры тестирования на проникновение из Rapid7. Ошибка была достаточно проста в использовании, и мы получили строки из памяти уязвимого сервера. Мы автоматизировали процесс, чтобы повторять запросы на сервере, выполняя различные задачи на сервере. После целого дня выполнения тестов мы собрали много данных.
Получить имена пользователей, пароли и идентификаторы сессий оказалось довольно легко, хотя они были похоронены в том, что похоже на кучу гоблинов. В реальном сценарии, если бы я был злоумышленником, учетные данные могут быть украдены очень быстро и незаметно, не требуя большого технического опыта. Однако здесь присутствует элемент удачи, поскольку запрос должен был попасть на сервер в нужное время, когда кто-то входил в систему или взаимодействовал с сайтом, чтобы получить информацию «в памяти». Сервер также должен был получить доступ к правой части памяти, и пока мы не видели способа контролировать это.
В наших собранных данных не было обнаружено никаких закрытых ключей. Это хорошо, правда? Это означает, что, несмотря на опасения, связанные с наихудшим сценарием, нелегко получить ключи или сертификаты с уязвимых серверов - это еще одна вещь, о которой мы все должны беспокоиться в этом мире, пережившем период после смерти.
Даже умные люди из Cloudflare, компании, которая предоставляет услуги безопасности для веб-сайтов, казалось, согласились с тем, что это не простой процесс. Не невозможно, но трудно сделать. «Мы потратили большую часть времени, проводя обширные тесты, чтобы выяснить, что может быть раскрыто с помощью Heartbleed, и, в частности, чтобы понять, не подвержены ли риску данные секретного ключа SSL», - писал вначале Ник Салливан, системный инженер из Cloudflare. блог компании на прошлой неделе. «Если это возможно, это как минимум очень тяжело», - добавил Салливан.
На прошлой неделе компания установила уязвимый сервер и попросила сообщество безопасности попытаться получить закрытый ключ шифрования сервера с помощью ошибки Heartbleed.
Но на самом деле…
Теперь приходит сила краудсорсинга. Через девять часов после того, как Cloudflare поставил перед собой задачу, исследователь безопасности успешно получил закрытый ключ после отправки 2, 5 миллионов запросов на сервер. Второму исследователю удалось сделать то же самое с гораздо меньшим количеством запросов - около 100 000, сказал Салливан. Еще два исследователя следовали примеру в течение выходных.
«Этот результат напоминает нам о том, что нельзя недооценивать силу толпы, и подчеркивает опасность, создаваемую этой уязвимостью», - сказал Салливан.
Мы вернулись к нашей тестовой настройке. На этот раз мы использовали программу «искренней лихорадки» от Роберта Грэма, генерального директора Errata Security. Это заняло часы, потребило много пропускной способности и сгенерировало тонны данных, но в итоге мы получили ключ. Теперь нам нужно проверить на других серверах, чтобы убедиться, что это не случайность. Security Watch также рассмотрит, как тот факт, что OpenSSL установлен на маршрутизаторах и другом сетевом оборудовании, подвергает эти устройства риску. Мы будем обновлять, когда у нас будет больше результатов.
Вместо того чтобы быть маловероятным, «любой может легко получить закрытый ключ», - заключил Грэм. Это страшная мысль.