heartbleed-openssl

Princíp zraniteľnosti Heartbleed v OpenSSL

Hystérie okoľo chyby v OpenSSL, zvanej Heartbleed, už je celkom dosť. Veľa sa o nej písalo, veľa diskutovalo na sociálnych sieťach. Mnoho našich zákazníkov, partnerov, ale aj kamarátov s nami tento problém konzultovalo. Všímame si, že niektoré veci ľudia pochopili inak, ako sú. Preto sme sa rozhodli vysvetliť tri hlavné nedostatky vo vnímaní tejto zraniteľnosti.

Najkôr si však zjednodušene vysvetlíme jej princíp. Chyba sa nachádza v rozšírení Heartbeat protokolu TLS. Heartbeat udržiava nažive „nečinný“ šifrovaný kanál. Jedna strana pošle druhej správu, napríklad „CITADELO“, spolu s jej dĺžkou, teda v tomto prípade 8. Druhá strana pošle danú správu danej dĺžky naspäť. Chyba spočíva v tom, že keď pošlem správu „CITADELO“ a ako dĺžku správy uvediem 1337 miesto 8, druhá strana pošle v odpovedi 1337 bajtov. V prvých sa nachádza „CITADELO“ a v tých ďalších obsah segmentu pamäte, ktorý sa nemal dostať von. Tieto správy je možné posielať opakovanie, pričom ich prenos sa nikam nezaznamenáva. Útok teda nezanecháva prakticky žiadne stopy. V skutočnosti je to celé trochu zložitejšie, ale takýto popis pre pochopenie podstaty stačí.

Teraz sa môžeme pozrieť na rozšírené chybné názory.

„Stačí zaplátať knižnicu, potom už je všetko v poriadku“

Nestačí a nie je. Pomocou tejto chyby je možné prečítať kusy pamäte, ktoré obsahujú naozaj citlivé údaje. Podľa dostupných informácií sú medzi nimi privátne kľúče, heslá, či kusy komunikácie, ako napríklad hodnoty SESSIONID.

Preto treba po aktualizácii knižníc vygenerovať nové kľúčové páry a k nim vydávať nové certifikáty. Taktiež meniť heslá, ktoré sa dotknutou cestou prenášali, či odhlásiť prihlásených používateľov.

„Pomocou chyby je možné prečítať celú pamäť systému“

Nie je to možné. S veľmi prehnaným optimizmom možno povedať, že je možné prečítať celú virtuálnu pamäť daného procesu. A ani to nie je úplne pravda. Každopádne s touto chybou sa nedá dosiahnuť viac, ako dovoľujú oprávnenia daného procesu. Teda napríklad čítaním pamäte webového serveru nedokážem prečítať pamäť LDAP serveru, aj keď bežia v rovnakom systéme. Každý má totiž vlastného užívateľa a vlastnú virtuálnu pamäť.

„Ohrozené sú iba servery“

Nie len servery. Útok je možné robiť v oboch smeroch. Rovnako, ako ho môže realizovať klient voči serveru, ho môže realizovať server voči kleintovi. A ani v druhom prípade útok nezanecháva žiadne stopy.

Preto treba aktualizovať aj notebooky a telefóny, ktoré sú typicky v pozícii klienta.

</p>

About the author

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Related posts

Citadelo Security Evening - jeseň 2017

Blog | | Citadelo
Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE)
Zobraziť

WPA2 prelomená. Viete ako ochrániť svoje dáta?

Blog | | Citadelo
Bezpečnostný analytik Mathy Vanhoef zverejnil širokej verejnosti vážnu bezpečnostnú chybu vo WPA2 protokole. WPA2 protokol sa bežne používa na šifrovanie komunikácie pri použití Wi-Fi, jeho predchodcovia sú WPA a WEP.
Zobraziť

Odhalili sme zraniteľnosť CMS Made Simple

Blog | | Citadelo
CMS Made Simple je voľne dostupný, open source CMS. Pozreli sme sa bližšie na zraniteľnosť CMS Made Simple a o výsledok sme sa s vami podelili.
Zobraziť

Úspešne sme absolvovali certifikáciu OSCP

Blog | | Citadelo
OSCP je skúška, ktorá preverí teoretické aj praktické znalosti. Narozdiel od iných skúšok, OSCP a jej úspešné absolvovanie hovorí o určitej znalosti držitela certifikátu.
Zobraziť