Heartbleed: krwawią nie tylko serwery, zagrożone są też routery, pecety, a nawet telefony

Heartbleed: krwawią nie tylko serwery, zagrożone są też routery, pecety, a nawet telefony10.04.2014 16:07

Netcraft już to potwierdził– błąd, którzy otrzymał chwytliwą nazwę Heartbleed,krwawienie z serca, dotknął17% internetowych serwerów, hostujących tysiącenajpopularniejszych witryn WWW na świecie. Skupiając uwagę naserwerach, nie można zapomnieć jednak o innych urządzeniach.Zagrożone są też routery, pecety, a nawet niektóre telefony.Zagrożenia nie można ignorować, wiele wskazuje na to, żewiedziano o nim na czarnym rynku.

Znany haker z SANS Institute JakeWilliams (vel MalwareJake)opublikował prezentację podsumowującą badania podatnych na atakimplementacji biblioteki OpenSSL. Wynika z nich, że równie dobrzezaatakowane mogą być internetowe klienty, na których działająfelerne wersje oprogramowania, pozwalając napastnikom wydobyć zpamięci hasła i klucze kryptograficzne.

Złośliwy serwer może więc,stosując technikę Heartbleed, wydobyć zawartość pamięciłączącego się z nim urządzenia w pakietach po 64 KB. Nie trzebado tego nawet się uwierzytelniać, jako że atak zachodzi podczasnegocjowania połączenia. Obfite żniwo można zebrać w ten sposóbz niedrogich routerów wykorzystywanych jako publiczne hotspoty czyfirmowych koncentratorów VPN, które zwykle w małych firmachrobione są „po taniości” – i nawet nie ma co liczyć, żektoś będzie aktualizował ich oprogramowanie.

MalwareJake ostrzega, że pracydla ekspertów od testów penetracyjnych będzie mnóstwo,przynajmniej do 2020 roku. W większości środowisk wykryciewszystkich podatności może być bardzo trudne. Ciężko będzie naprzykład stwierdzić, czy dana aplikacja dla Windows nie zostałastatycznie zlinkowana z podatną na atak wersją OpenSSL. Do tegodochodzą problemy z oprogramowaniem działającym na innych niż 443portach, np. bazami danych czy usługami LDAP.

Nie można też zapomnieć o coraz popularniejszych wirtualnych serwerach w chmurach, które dziśpowołujemy do życia jak popadnie, korzystając z gotowychszablonów. Administratorów czeka teraz mozolne sprawdzanie, czywirtualne serwery, którymi zarządzają, nie zawierają w sobiepodatności. Całkiem realnie zapowiada się też możliwośćwykorzystania Heartbleeda do wzmocnienia innych ataków – możliwośćzdobycia wycieków pamięci wiele tych luk, które uważano za trudnedo wykorzystania, czyni teraz całkiem łatwymi celami.

O ile jednak można uwierzyć, żeprofesjonaliści sobie w końcu poradzą, to gorzej wygląda sytuacjaz końcowymi użytkownikami. Tych trzeba szkolić, by wyrobili wsobie nawyk sprawdzania dat wystawienia certyfikatów kluczowychwitryn (np. bankowych), z których korzystają. Wystarczająco trudnebyło jednak nauczenie ludzi, by sprawdzali samą obecnośćcertyfikatu – jak zachęcić ich do sprawdzenia aktualności, niebardzo wiadomo. Jedyna dobra wiadomość jest taka, że najważniejszeprzeglądarki dla Windows zostały skompilowane z wykorzystaniemnatywnych dla tego systemu implementacji bibliotek kryptograficznych,nie linkuje do OpenSSL.

Nie najlepiej też wyglądająreakcje branży. Listatych producentów oprogramowania i sprzętu, którzy odnieśli siędo luki Heartbleed, nie jest długa – są na niej m.in. Cisco,Juniper, Novell/SUSE, RedHat i Slackware. Powinno być znacznie więcej.Lepiej wyglądają reakcje administratorów witryn, które okazałysię podatne na ataki. Do 8 kwietnia spośród 10 tys.najpopularniejszych stron, zaatakować można było w ten sposób aż630, w tym witryny adresowane do programistów, takie jakstackexchange.com, xda-developers.com, czy php.net. Ich pełną listęznajdziecie tutaj.

Google początkowo teżznajdowało się na tej liście, ale zatamowałokrwawienie z serca tak szybko, jak to było możliwe w niemalwszystkich swoich usługach. Pozostało jedynie zabezpieczenieadresowanych do biznesu urządzeń Google Search Appliance,oczywiście też użytkownicy chmury Google'a muszą samodzielniezaktualizować w niej swoje serwerowe instancje. Google Chrome iGoogle Chrome OS są bezpieczne. A co z Androidem? Tu uważać musząposiadacze urządzeń z tym systemem w wersji 4.1.1. Mountain Viewinformuje, że wszystkie pozostałe wersje Androida są odporne naatak – a informacje o łatkach do podatnej wersji są udostępnianeproducentom sprzętu.

Naszym Czytelnikom przypominamy,że w kwestii zmieniania haseł do serwisów internetowych należyzachować rozwagę. Po pierwsze należy ustalić, czy dany serwis byłnarażony. W uproszczeniu można założyć, że jeśli działał namicrosoftowym IIS Serverze (jak np. dobreprogramy.pl), to nie mażadnej potrzeby zmiany hasła.

Jeśli jednak witryna byłapodatna na atak, wówczas należy ustalić, czy została ona jużzałatana. Można to zrobić za pomocą narzędzia Heartbleedtest. Zmiana haseł w serwisie wciąż podatnym na atak nie masensu – nowe hasło może być przejęte przez hakerów. Jeśliwitrynę załatano, oczywiście hasło należy zmienić.

Przy okazji zmiany haseł wartosię zastanowić, czy nie byłoby dobrze sięgnąć po menedżerhaseł, takim jak choćby PasswordSafe, rekomendowany przez samego Bruce'a Schneiera. Dzięki niemumożemy wygodnie stosować bardzo mocne hasła, bez obawy, że ktośpostronny uzyska do nich dostęp.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na