heartbleed-openssl

Princíp zraniteľnosti Heartbleed v OpenSSL

Hystérie okoľo chyby v OpenSSL, zvanej Heartbleed, už je celkom dosť. Veľa sa o nej písalo, veľa diskutovalo na sociálnych sieťach. Mnoho našich zákazníkov, partnerov, ale aj kamarátov s nami tento problém konzultovalo. Všímame si, že niektoré veci ľudia pochopili inak, ako sú. Preto sme sa rozhodli vysvetliť tri hlavné nedostatky vo vnímaní tejto zraniteľnosti.

Najkôr si však zjednodušene vysvetlíme jej princíp. Chyba sa nachádza v rozšírení Heartbeat protokolu TLS. Heartbeat udržiava nažive „nečinný“ šifrovaný kanál. Jedna strana pošle druhej správu, napríklad „CITADELO“, spolu s jej dĺžkou, teda v tomto prípade 8. Druhá strana pošle danú správu danej dĺžky naspäť. Chyba spočíva v tom, že keď pošlem správu „CITADELO“ a ako dĺžku správy uvediem 1337 miesto 8, druhá strana pošle v odpovedi 1337 bajtov. V prvých sa nachádza „CITADELO“ a v tých ďalších obsah segmentu pamäte, ktorý sa nemal dostať von. Tieto správy je možné posielať opakovanie, pričom ich prenos sa nikam nezaznamenáva. Útok teda nezanecháva prakticky žiadne stopy. V skutočnosti je to celé trochu zložitejšie, ale takýto popis pre pochopenie podstaty stačí.

Teraz sa môžeme pozrieť na rozšírené chybné názory.

„Stačí zaplátať knižnicu, potom už je všetko v poriadku“

Nestačí a nie je. Pomocou tejto chyby je možné prečítať kusy pamäte, ktoré obsahujú naozaj citlivé údaje. Podľa dostupných informácií sú medzi nimi privátne kľúče, heslá, či kusy komunikácie, ako napríklad hodnoty SESSIONID.

Preto treba po aktualizácii knižníc vygenerovať nové kľúčové páry a k nim vydávať nové certifikáty. Taktiež meniť heslá, ktoré sa dotknutou cestou prenášali, či odhlásiť prihlásených používateľov.

„Pomocou chyby je možné prečítať celú pamäť systému“

Nie je to možné. S veľmi prehnaným optimizmom možno povedať, že je možné prečítať celú virtuálnu pamäť daného procesu. A ani to nie je úplne pravda. Každopádne s touto chybou sa nedá dosiahnuť viac, ako dovoľujú oprávnenia daného procesu. Teda napríklad čítaním pamäte webového serveru nedokážem prečítať pamäť LDAP serveru, aj keď bežia v rovnakom systéme. Každý má totiž vlastného užívateľa a vlastnú virtuálnu pamäť.

„Ohrozené sú iba servery“

Nie len servery. Útok je možné robiť v oboch smeroch. Rovnako, ako ho môže realizovať klient voči serveru, ho môže realizovať server voči kleintovi. A ani v druhom prípade útok nezanecháva žiadne stopy.

Preto treba aktualizovať aj notebooky a telefóny, ktoré sú typicky v pozícii klienta.

O autorovi

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Podobné blogy

Bezpečnosť na internete - Viete sa správať v online priestore bezpečne?

blog |
Priemerný človek strávi na internete každý deň 3 hodiny a 20 minút. Okrem užitočných informácií a zábavy ale na nás čaká v online svete aj veľké množstvo hrozieb.
Zobraziť

Citadelo na novom a ešte bezpečnejšom webe

Blog | | Michaela Gallee
Naša požiadavka na bezpečný web sa môže niekomu zdať prehnaná, nie sme predsa svetová banka. To však nič nemení na tom, že našou víziou je bezpečný internet a preto naša priorita bola kladená na bezpečnosť.
Zobraziť

Čo sú cookies, na čo slúžia a máme sa ich báť?

Blog | | Tomáš Melicher
Ešte stále neviete čo sú cookies? Prečo ich vidíte takmer na každej stránke, a prečo s nimi musíte súhlasiť, aj keď nechcete? Prečítajte si článok o tom, na čo slúžia cookies vo webových prehliadačoch aj o tom, ako súvisia s internetovou bezpečnosťou.
Zobraziť

Ako si objednať pentest- kompletný návod

Blog | | Martin Hanic
Hoci ľuďom z IT bezpečnostnej branže môže táto otázka pripadať rovnako triviálna ako "Ako si objednať nabíjačku na telefón", pre mnohých však spísanie objednávky na pentest predstavuje podobnú úlohu ako navrhnutie jadrovej elektrárne.
Zobraziť