Video: NESSUNO CI AVREBBE CREDUTO SE NON FOSSERO STATI FILMATI (Novembre 2024)
Ad aprile, abbiamo appreso che un bug nella popolare libreria di codici OpenSSL potrebbe consentire agli aggressori di raccogliere memoria da server apparentemente sicuri, potenzialmente catturando credenziali di accesso, chiavi private e altro. Soprannominato "Heartbleed", questo bug esisteva da anni prima di essere scoperto. La maggior parte delle discussioni su questo bug presupponevano che gli hacker lo usassero contro server sicuri. Tuttavia, un nuovo rapporto dimostra che può essere facilmente sfruttato su entrambi i server e gli endpoint che eseguono Linux e Android.
Luis Grangeia, un ricercatore di SysValue, ha creato una libreria di codici a prova di concetto che chiama "Cupido". Cupido è costituito da due patch per le librerie di codici Linux esistenti. Uno consente a un "server malvagio" di sfruttare Heartbleed su client Linux e Android vulnerabili, mentre l'altro consente a un "client malvagio" di attaccare i server Linux. Grangeia ha reso liberamente disponibile il codice sorgente, nella speranza che altri ricercatori si uniscano per saperne di più sul tipo di attacchi possibili.
Non tutti sono vulnerabili
Cupido funziona specificamente contro le reti wireless che utilizzano l'Extensible Authentication Protocol (EAP). Il tuo router wireless domestico quasi certamente non usa EAP, ma la maggior parte delle soluzioni di livello Enterprise lo fanno. Secondo Grangeia, anche alcune reti cablate usano EAP e quindi sarebbero vulnerabili.
Un sistema corretto con il codice Cupido ha tre opportunità per catturare dati dalla memoria della vittima. Può attaccare anche prima che venga stabilita la connessione sicura, il che è un po 'allarmante. Può attaccare dopo la stretta di mano che stabilisce la sicurezza. Oppure può attaccare dopo che i dati dell'applicazione sono stati condivisi.
Per quanto riguarda ciò che può catturare un dispositivo dotato di Cupido, Grangeia non ha ampiamente stabilito che, anche se "l'ispezione superficiale ha trovato cose interessanti sia su client che su server vulnerabili". Non è ancora noto se queste "cose interessanti" possano includere chiavi private o credenziali dell'utente. Parte della ragione per rilasciare il codice sorgente è di far lavorare più cervelli alla scoperta di tali dettagli.
Cosa sai fare?
Android 4.1.0 e 4.1.1 utilizzano entrambi una versione vulnerabile di OpenSSL. Secondo un rapporto di Bluebox, le versioni successive sono tecnicamente vulnerabili, ma il sistema di messaggistica heartbeat è disabilitato, dando a Heartbleed nulla da sfruttare.
Se il tuo dispositivo Android esegue 4.1.0 o 4.1.1, esegui l'aggiornamento se possibile. In caso contrario, Grangeia consiglia di "evitare di connettersi a reti wireless sconosciute a meno che non si aggiorni la ROM".
I sistemi Linux che si connettono tramite wireless sono vulnerabili a meno che OpenSSL non sia stato patchato. Coloro che utilizzano tali sistemi dovrebbero ricontrollare per assicurarsi che la patch sia a posto.
Per quanto riguarda le reti aziendali che utilizzano EAP, Grangeia suggerisce di far testare il sistema da SysValue o da un'altra agenzia.
Mac, box di Windows e dispositivi iOS non sono interessati. Per una volta, è Linux che è nei guai. Puoi leggere il post completo di Grangeia qui o visualizzare una presentazione qui. Se sei un ricercatore, potresti prendere il codice e fare un po 'di esperimenti.