Krytyczna dziura w OpenSSL; ponad 65% serwerów w internecie podatnych na podsłuch …i to od 2 lat

[zbc]

Jak się okazuje, w OpenSSL przez 2 lata znajdował się błąd, który mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. Błąd znajdował się w kodzie od 2 lat i co gorsza nie będziecie w stanie sprawdzić, czy padliście jego ofiarą — atak nie pozostawia bowiem żadnych śladów. Czy czeka nas wszystkich wymiana/kupno nowych certyfikatów SSL?
Co korzysta z OpenSSL?

Biblioteki OpenSSL używa ok. 2/3 webserwerów w internecie. Ale nie tylko — oprócz Apache i nginx polegają na niej również klienty poczty elektronicznej i inne oprogramowanie . To dzięki niej możliwa jest obsługa m.in. certyfikatów SSL czyli “poczucie bezpieczeństwa oferowane przez kłódkę”

OpenSSL__The_Open_Source_toolkit_for_SSL_TLS
Które wersje są dziurawe?

Wczorajsze advisory OpenSSL poinformowało o błędzie, który otrzymał identyfikator CVE-2014-0160 i w krótkich słowach wyjaśniło jego genezę:

brak tzw. bound checka w obsłudze heartbeatu TLS może powodować ujawnienie 64k pamięci serwera. Na błąd podatne są wersje od 1.0.1 do 1.0.1f oraz 1.0.2-beta wraz z 1.0.2-beta1. —Błąd odkrył Neel Mehta z Google Security.

Starsze wersje nie są podatne, ale paradoksalnie poprzednie błędy w TLS (np. atak BEAST) wymusiły aktualizację do nowych, jak się okazuje jeszcze bardziej dziurawych, wersji OpenSSL…
Atak Heartbleed – sprawdź czy jesteś dziurawy

W internecie dostępny jest już test, weryfikujący, czy dany serwer jest dziurawy. O ile wszystkie testowane przez nas polskie banki nie są podatne na atak (poza jednym), to z giełdami bitcoina jest już odrobinę inaczej

Test_your_server_for_Heartbleed__CVE-2014-0160_

…albo strona testująca nie działa stabilnie — oto komentarz jaki otrzymaliśmy w tej sprawie od Bitcurex:

Chciałbym poinformować, że nasz serwis jest zabezpieczony na okazję Heartbleed już od dłuższego czasu. Strona, na którą się Państwo powołujecie, w kontekście wprowadzonego przez nas zabezpieczenia, może wprowadzać w błąd.

Mam OpenSSL – co robić, jak żyć?

Po pierwsze, zaktualizuj swój pakiet do wersji 1.0.1g, lub jeśli nie jest to możliwe, zrekompiluj OpenSSL z flagą -DOPENSSL_NO_HEARTBEATS

Po drugie, nie należy wykluczać, że luka była znana w pewnych kręgach, a to oznacza, że przez (maksymalnie) ostatnie 2 lata ktoś mógł wykraść twoje klucze prywatne do certyfikatu SSL, a następnie mając możliwość deszyfrowania ruchu do Twojej maszyny, także wszelkie hasła administratorów lub użytkowników albo ich ciasteczka.

Dlatego, po aktualizacji OpenSSL należy rozważyć:

Wymianę certyfikatu SSL na nowy (to może wiązać się z kosztami zakupu nowego certyfikatu)
Zmianę haseł administratora i/lub użytkowników (mogły zostać podsłuchane)
Skasowanie aktywnych tokenów sesyjnych na webserwerze (mogły zostać podsłuchane)

Należy również uświadomić sobie, że jeśli ktoś posiadał możliwość deszyfrowania ruchu do naszego serwera przez (w wariancie pesymistycznym) nawet 2 lata, to mógł on równie dobrze przejąć krytyczne dokumenty, które wysyłaliśmy/e-mailowaliśmy do serwerów pracujących pod kontrolą OpenSSL — albo wręcz dostać się do serwera przy pomocy naszych danych i przejrzeć wszystkie informacje, które się na nim znajdowały.
Dodatkowe informacje o błędzie “Heartbleed”

Na koniec przypomnijmy, że kilka tygodni temu krytyczny błąd w bibliotece obsługującej SSL/TLS dotknął oprogramowanie Apple …a i GnuTLS miało niedawno swoje problemy.

Jak widać, nie zawsze “Open Source” oznacza, że błędy są wyłapywane natychmiast przez tzw. “community” — lepiej jednak późno, niż wcale.

PS. Techniczna analiza błędu dostępna jest tutaj — a osoby, które odkryły podatność stworzyły specjalny serwis z informacjami na jej temat.

PPS. Ponieważ dziś ujawniono na czym polega atak i udostępniono kod patcha, który go łata, najprawdopodobniej lada chwila rozpoczną się masowe ataki na serwery korzystające z OpenSSL. Dlatego dajcie proszę znać swoim znajomym o tym błędzie — niech jak najszybciej zaktualizują OpenSSL na swoich serwerach.

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

:D

[morphiusz]

[Aby zobaczyć linki, zarejestruj się tutaj]

Tutaj też można sprawdzić czy serwer jest podatny na atak Heartbleed.

[ichito]

Na Niebezpieczniku jest kontynuacja tematu...wygląda nieciekawie w kontekście takich fragmentów

Już wczoraj pojawiły się pierwsze narzędzia, które umożliwiają przeprowadzenie ataku nawet gimnazjalistom z IQ na poziomie temperatury pokojowej. Poniżej prezentujemy ich przegląd oraz listę serwisów, z których na skutek Heartbleeda wyciekły lub dalej wyciekają dane. A wam radzimy, jeśli wczoraj logowaliście się na jakiś serwer po HTTPS, aby profilaktycznie zmienić w nim swoje hasło.

Heartbleed, czyli serwery krwawią danymi

Na początku zaznaczmy, że tak poważna i “szeroka” podatności dawno nie miała miejsca w internecie. Od przedwczoraj obserwowaliśmy setki serwerów, z których pamięci wyciekają loginy, hasła, e-maile, klucze SSL, ciasteczka sesyjne i inne dane. Atak jest banalny do przeprowadzenia (kilkanaście narzędzi jest już gotowych do użycia) …wystarczy wybrać niezapatchowany jeszcze serwer i …czekać. Tu warto nadmienić, że na atak podatne są nie tylko webserwery, ale również serwery poztowe (STARTLS) oraz bramki SSL VPN.

[Aby zobaczyć linki, zarejestruj się tutaj]

Powstały nawet specjalne dodatki do przeglądarek Firefox i Chrome, które pozwalają sprawdzić, czy jesteśmy podatni na atak.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[ichito]

Sprawa zatacza coraz szersze kręgi i jak widać z ostatnich doniesień dotyczy nie tylko serwerów, ale także pojedynczych prywatnych urządzeń jak komputery, ale również urządzeń mobilnych bazujących na Androidzie i IOS. Z artykułów przebija "lekkie" zaniepokojenie, bo ofiarą właściwie może być każdy.

Heartbleed to wyciek pamięci nie tylko z serwera…

Atak Heartbleed dotyczy OpenSSL-a, ale przecież biblioteka ta nie jest wykorzystywana tylko i wyłącznie na serwerach. Jej klient został wbudowany w programy pocztowe, klienty VPN-owe oraz systemy operacyjne — także mobilne.

Przykładowo, na wycieki pamięci po wejściu na odpowiednio spreparowaną stronę WWW narażeni są użytkownicy Androida w wersji 4.1.1 (Jelly Bean). Potwierdza to Google i nie jest to dobra informacja, bowiem wciaż z Jelly Bean 4.1.1 korzysta najwięcej użytkowników.
W sieci już pojawiły się instrukcje jak stworzyć złośliwą stronę WWW, która — po wejściu na nią podatnego na atak użytkownika — wykradnie fragmenty jego pamięci, które mogą zawierać:

* fragmenty edytowanych przez użytkownika plików,
* wpisywane przez niego hasła,
* a nawet zdjęcia, które wykonywane zostały wbudowaną w laptopa kamerką

W zasadzie wykraść można wszystko, co znajdowało się w pamięci urządzenia przed momentem dokonania ataku.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[zalew]

Coż ten problem dotyczy obu stron - serwera i klienta. I see you see me.

[zbc]

Powstała nawet aplikacja "heartbleed detector" na androida

[Aby zobaczyć linki, zarejestruj się tutaj]

Chip pl dorzuca swoje dwa grosze:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

No i niebezpiecznik

[Aby zobaczyć linki, zarejestruj się tutaj]

[zbc]

Jeszcze trochę informacji:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nawet w wikipedii jest już artykuł o heartbleed (bardzo szczegółowo) :

[Aby zobaczyć linki, zarejestruj się tutaj]

.
Ciekawe jest to, że OpenSSL jest właśnie open source.

[zbc]

Heartbleed to poważna luka bezpieczeństwa. Jak chronić się przed heartbleed?:

[Aby zobaczyć linki, zarejestruj się tutaj]

[zbc]

Uwaga!

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Tapatalk jest zagrożony!