Video: Heartbleed Exploit - Discovery & Exploitation (September 2024)
Under veckan sedan forskare avslöjade Heartbleed-sårbarheten i OpenSSL har det varit mycket diskussioner om vilken typ av information angripare faktiskt kan få genom att utnyttja felet. Visar sig ganska mycket.
Som Security Watch har noterat tidigare är Heartbleed namnet på ett fel i OpenSSL som läcker information i datorns minne. (Kolla in XKCD: s fantastiska komiker som förklarar bristen) Forskare fann att inloggningsuppgifter, användarinformation och annan information kunde fångas upp genom att utnyttja felet. Experter trodde att det också skulle vara möjligt att få serverns privata nyckel på detta sätt.
Certifikat och privata nycklar används för att verifiera att en dator (eller mobil enhet) ansluter till en legitim webbplats och att all information som skickas är krypterad. Webbläsare anger en säker anslutning med ett hänglås och visar en varning om certifikatet är ogiltigt. Om angriparna kunde stjäla privata nycklar kan de skapa en falsk webbplats som skulle se ut som legitim och fånga känslig användardata. De skulle också kunna dekryptera krypterad nätverkstrafik.
Säkerhetsvakttestet
Nyfiken att se vad vi kunde göra med en server som kör en sårbar version av OpenSSL, vi startade en instans av Kali Linux och laddade Heartbleed-modulen för Metasploit, ett ramverk för penetrationstestning från Rapid7. Buggen var tillräckligt lätt att utnyttja, och vi fick tillbaka strängar från den sårbara serverns minne. Vi automatiserade processen för att fortsätta slå servern med upprepade förfrågningar medan vi utför olika uppgifter på servern. Efter en hel dag med testning hade vi samlat in mycket data.
Att få användarnamn, lösenord och session-ID visade sig vara ganska enkelt, även om de var begravda inom det som ser ut som en hel del gobblygook. I ett verkligt scenarie, om jag var en angripare, kan referenserna stulas mycket snabbt och snyggt, utan att behöva mycket teknisk expertis. Det finns dock ett element av tur involverat eftersom begäran var tvungen att träffa servern vid rätt tidpunkt när någon loggade in eller samverkade med webbplatsen för att få informationen "i minnet." Servern var också tvungen att träffa den rätta delen av minnet, och hittills har vi inte sett ett sätt att kontrollera det.
Inga privata nycklar dykte upp i våra insamlade data. Det är bra, eller hur? Det betyder trots våra värsta fall, det är inte lätt att hämta nycklar eller certifikat från sårbara servrar - en mindre sak för oss alla att oroa oss för i den här världen efter hjärtat.
Även de smarta människorna på Cloudflare, ett företag som tillhandahåller säkerhetstjänster för webbplatser, tycktes hålla med om att det inte var en enkel process. Inte omöjligt, men svårt att göra. "Vi har tillbringat mycket av tiden på att genomföra omfattande test för att ta reda på vad som kan utsättas via Heartbleed och specifikt för att förstå om privata SSL-nyckeldata var i riskzonen, " skrev Nick Sullivan, en systemingenjör på Cloudflare, inledningsvis om företagets blogg förra veckan. "Om det är möjligt är det på ett minimum mycket svårt, " tillade Sullivan.
Företaget inrättade en sårbar server förra veckan och bad säkerhetsgemenskapen att försöka få serverns privata krypteringsnyckel med Heartbleed-felet.
Men faktiskt...
Nu kommer kraften i crowddsourcing. Nio timmar efter att Cloudflare startade sin utmaning fick en säkerhetsforskare framgångsrikt den privata nyckeln efter att ha skickat 2, 5 miljoner förfrågningar till servern. En andra forskare lyckades göra samma sak med mycket mindre förfrågningar - cirka 100 000, sa Sullivan. Ytterligare två forskare följde efter helgen.
"Detta resultat påminner oss om att inte underskatta mängden folkmassan och betonar faran som denna sårbarhet utgör, " sade Sullivan.
Vi gick tillbaka till vår testinställning. Den här gången använde vi heartleech-programmet från Robert Graham, VD för Errata Security. Det tog timmar, konsumerade mycket bandbredd och genererade massor av data, men vi fick så småningom nyckeln. Vi måste nu testa mot andra servrar för att se till att det inte var ett problem. Security Watch kommer också att undersöka hur det faktum att OpenSSL är installerat på routrar och annan nätverksutrustning riskerar dessa enheter. Vi kommer att uppdatera när vi har fler resultat.
I stället för att vara osannolikt "kan någon lätt få en privat nyckel", avslutade Graham. Det är en skrämmande tanke.
