Video: Heartbleed Exploit - Discovery & Exploitation (Settembre 2024)
Nella settimana da quando i ricercatori hanno rivelato la vulnerabilità Heartbleed in OpenSSL, si è discusso molto sul tipo di informazioni che gli aggressori possono effettivamente ottenere sfruttando il bug. Risulta abbastanza.
Come notato in precedenza da Security Watch, Heartbleed è il nome di un bug in OpenSSL che perde informazioni nella memoria del computer. (Guarda il fantastico fumetto di XKCD che spiega il difetto) I ricercatori hanno scoperto che le credenziali di accesso, le informazioni sull'utente e altre informazioni potevano essere intercettate sfruttando il difetto. Gli esperti hanno pensato che sarebbe stato possibile ottenere la chiave privata del server in questo modo.
I certificati e le chiavi private vengono utilizzati per verificare che un computer (o dispositivo mobile) si colleghi a un sito Web legittimo e che tutte le informazioni trasmesse siano crittografate. I browser indicano una connessione sicura con un lucchetto e mostrano un avviso se il certificato non è valido. Se gli aggressori potessero rubare chiavi private, potrebbero creare un sito Web falso che sembrerebbe legittimo e intercetterebbe i dati sensibili dell'utente. Sarebbero anche in grado di decrittografare il traffico di rete crittografato.
Il test di sorveglianza della sicurezza
Curiosi di vedere cosa potremmo fare con un server che esegue una versione vulnerabile di OpenSSL, abbiamo avviato un'istanza di Kali Linux e caricato il modulo Heartbleed per Metasploit, un framework di test di penetrazione di Rapid7. Il bug era abbastanza facile da sfruttare e abbiamo ricevuto stringhe dalla memoria del server vulnerabile. Abbiamo automatizzato il processo per continuare a colpire il server con richieste ripetute durante l'esecuzione di varie attività sul server. Dopo un'intera giornata di test, avevamo raccolto molti dati.
Ottenere nomi utente, password e ID di sessione si è rivelato abbastanza semplice, anche se sono stati sepolti in quello che sembra un sacco di gobblygook. In uno scenario di vita reale, se fossi un attaccante, le credenziali possono essere rubate molto rapidamente e di nascosto, senza bisogno di molta competenza tecnica. C'è un elemento di fortuna, tuttavia, poiché la richiesta ha dovuto colpire il server al momento giusto quando qualcuno stava effettuando il login o interagendo con il sito per ottenere le informazioni "in memoria". Il server ha anche dovuto colpire la parte giusta della memoria e, al momento, non abbiamo visto un modo per controllarlo.
Nessuna chiave privata visualizzata nei nostri dati raccolti. Va bene, vero? Ciò significa che, nonostante le nostre preoccupazioni relative allo scenario peggiore, non è facile acquisire chiavi o certificati da server vulnerabili: una cosa in meno di cui tutti noi dobbiamo preoccuparci in questo mondo post-Heartbleed.
Persino le persone intelligenti di Cloudflare, una società che fornisce servizi di sicurezza per siti Web, sembravano concordare sul fatto che non era un processo facile. Non impossibile, ma difficile da fare. "Abbiamo trascorso gran parte del tempo a eseguire test approfonditi per capire cosa può essere esposto tramite Heartbleed e, nello specifico, per capire se i dati della chiave SSL privata fossero a rischio", ha scritto inizialmente Nick Sullivan, ingegnere di sistema di Cloudflare sul blog dell'azienda la scorsa settimana. "Se è possibile, è almeno molto difficile", ha aggiunto Sullivan.
La società ha creato un server vulnerabile la scorsa settimana e ha chiesto alla comunità della sicurezza di provare a ottenere la chiave di crittografia privata del server utilizzando il bug Heartbleed.
Ma veramente…
Ora arriva il potere del crowdsourcing. Nove ore dopo che Cloudflare ha lanciato la sua sfida, un ricercatore di sicurezza ha ottenuto con successo la chiave privata dopo aver inviato 2, 5 milioni di richieste al server. Un secondo ricercatore è riuscito a fare lo stesso con molte meno richieste: circa 100.000, ha detto Sullivan. Altri due ricercatori hanno seguito l'esempio nel fine settimana.
"Questo risultato ci ricorda di non sottovalutare il potere della folla e sottolinea il pericolo rappresentato da questa vulnerabilità", ha affermato Sullivan.
Siamo tornati alla nostra configurazione di prova. Questa volta, abbiamo utilizzato il programma heartleech di Robert Graham, CEO di Errata Security. Ci sono volute ore, consumato molta larghezza di banda e generato tonnellate di dati, ma alla fine abbiamo ottenuto la chiave. Ora dobbiamo testare con altri server per assicurarci che non sia stato un colpo di fortuna. Security Watch esplorerà anche come il fatto che OpenSSL sia installato su router e altre apparecchiature di rete metta a rischio questi dispositivi. Aggiorneremo quando avremo più risultati.
Piuttosto che essere improbabile, "chiunque può facilmente ottenere una chiave privata", ha concluso Graham. È un pensiero spaventoso.
