บ้าน Securitywatch Heartbleed นั้นง่ายต่อการใช้งาน

Heartbleed นั้นง่ายต่อการใช้งาน

วีดีโอ: HOTPURI song SUPERhit Bhojpuri Hot Songs New 2017 (ธันวาคม 2024)

วีดีโอ: HOTPURI song SUPERhit Bhojpuri Hot Songs New 2017 (ธันวาคม 2024)
Anonim

ในสัปดาห์ที่ผ่านมาเนื่องจากนักวิจัยเปิดเผยว่าช่องโหว่ Heartbleed ใน OpenSSL นั้นมีการถกเถียงกันมากมายเกี่ยวกับประเภทของผู้โจมตีข้อมูลที่จะได้รับจากการใช้ประโยชน์จากข้อบกพร่อง ปรากฎค่อนข้างมาก

ตามที่ Security Watch ได้จดบันทึกไว้ก่อนหน้านี้ Heartbleed เป็นชื่อของข้อบกพร่องใน OpenSSL ซึ่งจะรั่วไหลข้อมูลในหน่วยความจำของคอมพิวเตอร์ (ตรวจสอบการ์ตูน ที่ยอดเยี่ยม ของ XKCD อธิบายข้อบกพร่อง) นักวิจัยพบว่าข้อมูลรับรองการเข้าสู่ระบบข้อมูลผู้ใช้และข้อมูลอื่น ๆ อาจถูกดักจับโดยใช้ประโยชน์จากข้อบกพร่อง ผู้เชี่ยวชาญคิดว่าเป็นไปได้ที่จะได้รับรหัสส่วนตัวของเซิร์ฟเวอร์ด้วยวิธีนี้เช่นกัน

ใบรับรองและกุญแจส่วนตัวใช้เพื่อตรวจสอบว่าคอมพิวเตอร์ (หรืออุปกรณ์มือถือ) เชื่อมต่อกับเว็บไซต์ที่ถูกต้องตามกฎหมายและข้อมูลทั้งหมดที่ส่งผ่านนั้นถูกเข้ารหัส เบราว์เซอร์ระบุการเชื่อมต่อที่ปลอดภัยพร้อมกุญแจล็อคและแสดงคำเตือนหากใบรับรองไม่ถูกต้อง หากผู้โจมตีสามารถขโมยกุญแจส่วนตัวพวกเขาสามารถตั้งค่าเว็บไซต์ปลอมที่ดูถูกต้องตามกฎหมายและสกัดกั้นข้อมูลผู้ใช้ที่ละเอียดอ่อน พวกเขาจะสามารถถอดรหัสทราฟฟิกเครือข่ายที่เข้ารหัสได้

การทดสอบความปลอดภัยดู

อยากทราบว่าเราสามารถทำอะไรกับเซิร์ฟเวอร์ที่ใช้ OpenSSL เวอร์ชันที่มีช่องโหว่เราเริ่มต้นตัวอย่างของ Kali Linux และโหลดโมดูล Heartbleed สำหรับ Metasploit ซึ่งเป็นกรอบการทดสอบการเจาะจาก Rapid7 ข้อผิดพลาดนั้นง่ายพอที่จะใช้ประโยชน์จากและเราได้รับสายกลับจากหน่วยความจำของเซิร์ฟเวอร์ที่มีช่องโหว่ เราดำเนินการอัตโนมัติเพื่อให้เซิร์ฟเวอร์มีการร้องขอซ้ำในขณะที่ทำงานต่าง ๆ บนเซิร์ฟเวอร์ หลังจากดำเนินการทดสอบมาทั้งวันเราได้รวบรวมข้อมูลจำนวนมาก

การรับชื่อผู้ใช้รหัสผ่านและรหัสเซสชันกลายเป็นเรื่องง่ายพอสมควรแม้ว่าจะถูกฝังอยู่ในสิ่งที่ดูเหมือนว่าเป็นจำนวนมาก ในสถานการณ์ชีวิตจริงถ้าฉันเป็นผู้โจมตีข้อมูลประจำตัวสามารถถูกขโมยได้อย่างรวดเร็วและลับ ๆ ล่อๆโดยไม่จำเป็นต้องมีความเชี่ยวชาญด้านเทคนิคมากมาย มีองค์ประกอบของโชคที่เกี่ยวข้องเนื่องจากคำขอต้องโจมตีเซิร์ฟเวอร์ในเวลาที่เหมาะสมเมื่อมีคนลงชื่อเข้าใช้หรือโต้ตอบกับเว็บไซต์เพื่อรับข้อมูล "ในหน่วยความจำ" เซิร์ฟเวอร์ต้องกดส่วนที่ถูกต้องของหน่วยความจำและ ณ ตอนนี้เรายังไม่เห็นวิธีการควบคุม

ไม่มีคีย์ส่วนตัวปรากฏขึ้นในข้อมูลที่เก็บรวบรวมของเรา มันดีใช่มั้ย ซึ่งหมายความว่าแม้จะมีกรณีที่เลวร้ายที่สุดของเรา แต่ก็ไม่ง่ายที่จะหยิบกุญแจหรือใบรับรองจากเซิร์ฟเวอร์ที่มีช่องโหว่ซึ่งเป็นเรื่องที่น้อยกว่าที่เราทุกคนต้องกังวลในโลกหลังหัวใจสลาย

แม้แต่คนฉลาด ๆ ที่ Cloudflare บริษัท ที่ให้บริการด้านความปลอดภัยสำหรับเว็บไซต์ก็ดูเหมือนจะยอมรับว่ามันไม่ใช่กระบวนการที่ง่าย เป็นไปไม่ได้ แต่ยากที่จะทำ "เราได้ใช้เวลาส่วนใหญ่ในการทดสอบมากมายเพื่อค้นหาว่าสามารถสัมผัสอะไรผ่าน Heartbleed และโดยเฉพาะอย่างยิ่งเพื่อทำความเข้าใจว่าข้อมูลคีย์ส่วนตัวของ SSL มีความเสี่ยงหรือไม่" Nick Sullivan วิศวกรระบบของ Cloudflare กล่าว บล็อกของ บริษัท เมื่อสัปดาห์ที่แล้ว “ ถ้าเป็นไปได้มันเป็นเรื่องยากอย่างน้อยที่สุด” ซัลลิแวนกล่าวเสริม

บริษัท ได้ติดตั้งเซิร์ฟเวอร์ที่มีช่องโหว่เมื่อสัปดาห์ที่แล้วและขอให้ชุมชนด้านความปลอดภัยพยายามรับรหัสการเข้ารหัสส่วนตัวของเซิร์ฟเวอร์โดยใช้ Heartbleed bug

แต่จริงๆแล้ว …

ตอนนี้พลังของ crowdsourcing มา เก้าชั่วโมงหลังจากที่ Cloudflare ตั้งค่าความท้าทายนักวิจัยด้านความปลอดภัยได้รับรหัสส่วนตัวหลังจากส่งคำขอ 2.5 ล้านคำขอไปยังเซิร์ฟเวอร์ นักวิจัยคนที่สองพยายามทำแบบเดียวกันโดยมีคำขอน้อยกว่า - ประมาณ 100, 000 นายซัลลิแวนกล่าว นักวิจัยอีกสองคนตามหลังชุดสูทในช่วงสุดสัปดาห์

“ ผลการเตือนนี้ทำให้เราไม่ประมาทพลังของฝูงชนและเน้นถึงอันตรายที่เกิดจากช่องโหว่นี้” ซัลลิแวนกล่าว

เรากลับไปที่การตั้งค่าการทดสอบของเรา ครั้งนี้เราใช้โปรแกรม heartleech จาก Robert Graham ซีอีโอของ Errata Security ใช้เวลาหลายชั่วโมงใช้แบนด์วิธจำนวนมากและสร้างข้อมูลจำนวนมาก แต่ในที่สุดเราก็ได้รับกุญแจ ตอนนี้เราต้องทดสอบกับเซิร์ฟเวอร์อื่น ๆ เพื่อให้แน่ใจว่านี่ไม่ใช่ความบังเอิญ Security Watch จะสำรวจว่าการติดตั้ง OpenSSL บนเราเตอร์และอุปกรณ์เครือข่ายอื่น ๆ ทำให้อุปกรณ์เหล่านี้มีความเสี่ยง เราจะอัปเดตเมื่อเรามีผลลัพธ์มากขึ้น

แทนที่จะเป็นไปได้ยาก "ใคร ๆ ก็สามารถหากุญแจส่วนตัวได้อย่างง่ายดาย" เกรแฮมกล่าวสรุป นั่นเป็นความคิดที่น่ากลัว

Heartbleed นั้นง่ายต่อการใช้งาน