r   e   k   l   a   m   a
r   e   k   l   a   m   a

Heartbleed: krwawią nie tylko serwery, zagrożone są też routery, pecety, a nawet telefony

Strona główna AktualnościOPROGRAMOWANIE

Netcraft już to potwierdził – błąd, którzy otrzymał chwytliwą nazwę Heartbleed, krwawienie z serca, dotknął 17% internetowych serwerów, hostujących tysiące najpopularniejszych witryn WWW na świecie. Skupiając uwagę na serwerach, nie można zapomnieć jednak o innych urządzeniach. Zagrożone są też routery, pecety, a nawet niektóre telefony. Zagrożenia nie można ignorować, wiele wskazuje na to, że wiedziano o nim na czarnym rynku.

Znany haker z SANS Institute Jake Williams (vel MalwareJake) opublikował prezentację podsumowującą badania podatnych na atak implementacji biblioteki OpenSSL. Wynika z nich, że równie dobrze zaatakowane mogą być internetowe klienty, na których działają felerne wersje oprogramowania, pozwalając napastnikom wydobyć z pamięci hasła i klucze kryptograficzne.

Złośliwy serwer może więc, stosując technikę Heartbleed, wydobyć zawartość pamięci łączącego się z nim urządzenia w pakietach po 64 KB. Nie trzeba do tego nawet się uwierzytelniać, jako że atak zachodzi podczas negocjowania połączenia. Obfite żniwo można zebrać w ten sposób z niedrogich routerów wykorzystywanych jako publiczne hotspoty czy firmowych koncentratorów VPN, które zwykle w małych firmach robione są „po taniości” – i nawet nie ma co liczyć, że ktoś będzie aktualizował ich oprogramowanie.

r   e   k   l   a   m   a

MalwareJake ostrzega, że pracy dla ekspertów od testów penetracyjnych będzie mnóstwo, przynajmniej do 2020 roku. W większości środowisk wykrycie wszystkich podatności może być bardzo trudne. Ciężko będzie na przykład stwierdzić, czy dana aplikacja dla Windows nie została statycznie zlinkowana z podatną na atak wersją OpenSSL. Do tego dochodzą problemy z oprogramowaniem działającym na innych niż 443 portach, np. bazami danych czy usługami LDAP.

Nie można też zapomnieć o coraz popularniejszych wirtualnych serwerach w chmurach, które dziś powołujemy do życia jak popadnie, korzystając z gotowych szablonów. Administratorów czeka teraz mozolne sprawdzanie, czy wirtualne serwery, którymi zarządzają, nie zawierają w sobie podatności. Całkiem realnie zapowiada się też możliwość wykorzystania Heartbleeda do wzmocnienia innych ataków – możliwość zdobycia wycieków pamięci wiele tych luk, które uważano za trudne do wykorzystania, czyni teraz całkiem łatwymi celami.

O ile jednak można uwierzyć, że profesjonaliści sobie w końcu poradzą, to gorzej wygląda sytuacja z końcowymi użytkownikami. Tych trzeba szkolić, by wyrobili w sobie nawyk sprawdzania dat wystawienia certyfikatów kluczowych witryn (np. bankowych), z których korzystają. Wystarczająco trudne było jednak nauczenie ludzi, by sprawdzali samą obecność certyfikatu – jak zachęcić ich do sprawdzenia aktualności, nie bardzo wiadomo. Jedyna dobra wiadomość jest taka, że najważniejsze przeglądarki dla Windows zostały skompilowane z wykorzystaniem natywnych dla tego systemu implementacji bibliotek kryptograficznych, nie linkuje do OpenSSL.

Nie najlepiej też wyglądają reakcje branży. Lista tych producentów oprogramowania i sprzętu, którzy odnieśli się do luki Heartbleed, nie jest długa – są na niej m.in. Cisco, Juniper, Novell/SUSE, RedHat i Slackware. Powinno być znacznie więcej. Lepiej wyglądają reakcje administratorów witryn, które okazały się podatne na ataki. Do 8 kwietnia spośród 10 tys. najpopularniejszych stron, zaatakować można było w ten sposób aż 630, w tym witryny adresowane do programistów, takie jak stackexchange.com, xda-developers.com, czy php.net. Ich pełną listę znajdziecie tutaj.

Google początkowo też znajdowało się na tej liście, ale zatamowało krwawienie z serca tak szybko, jak to było możliwe w niemal wszystkich swoich usługach. Pozostało jedynie zabezpieczenie adresowanych do biznesu urządzeń Google Search Appliance, oczywiście też użytkownicy chmury Google'a muszą samodzielnie zaktualizować w niej swoje serwerowe instancje. Google Chrome i Google Chrome OS są bezpieczne. A co z Androidem? Tu uważać muszą posiadacze urządzeń z tym systemem w wersji 4.1.1. Mountain View informuje, że wszystkie pozostałe wersje Androida są odporne na atak – a informacje o łatkach do podatnej wersji są udostępniane producentom sprzętu.

Naszym Czytelnikom przypominamy, że w kwestii zmieniania haseł do serwisów internetowych należy zachować rozwagę. Po pierwsze należy ustalić, czy dany serwis był narażony. W uproszczeniu można założyć, że jeśli działał na microsoftowym IIS Serverze (jak np. dobreprogramy.pl), to nie ma żadnej potrzeby zmiany hasła.

Jeśli jednak witryna była podatna na atak, wówczas należy ustalić, czy została ona już załatana. Można to zrobić za pomocą narzędzia Heartbleed test. Zmiana haseł w serwisie wciąż podatnym na atak nie ma sensu – nowe hasło może być przejęte przez hakerów. Jeśli witrynę załatano, oczywiście hasło należy zmienić.

Przy okazji zmiany haseł warto się zastanowić, czy nie byłoby dobrze sięgnąć po menedżer haseł, takim jak choćby Password Safe, rekomendowany przez samego Bruce'a Schneiera. Dzięki niemu możemy wygodnie stosować bardzo mocne hasła, bez obawy, że ktoś postronny uzyska do nich dostęp.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.