Znany haker z SANS Institute JakeWilliams (vel MalwareJake)opublikował prezentację podsumowującą badania podatnych na atakimplementacji biblioteki OpenSSL. Wynika z nich, że równie dobrzezaatakowane mogą być internetowe klienty, na których działająfelerne wersje oprogramowania, pozwalając napastnikom wydobyć zpamięci hasła i klucze kryptograficzne.
Złośliwy serwer może więc,stosując technikę Heartbleed, wydobyć zawartość pamięciłączącego się z nim urządzenia w pakietach po 64 KB. Nie trzebado tego nawet się uwierzytelniać, jako że atak zachodzi podczasnegocjowania połączenia. Obfite żniwo można zebrać w ten sposóbz niedrogich routerów wykorzystywanych jako publiczne hotspoty czyfirmowych koncentratorów VPN, które zwykle w małych firmachrobione są „po taniości” – i nawet nie ma co liczyć, żektoś będzie aktualizował ich oprogramowanie.
MalwareJake ostrzega, że pracydla ekspertów od testów penetracyjnych będzie mnóstwo,przynajmniej do 2020 roku. W większości środowisk wykryciewszystkich podatności może być bardzo trudne. Ciężko będzie naprzykład stwierdzić, czy dana aplikacja dla Windows nie zostałastatycznie zlinkowana z podatną na atak wersją OpenSSL. Do tegodochodzą problemy z oprogramowaniem działającym na innych niż 443portach, np. bazami danych czy usługami LDAP.
Nie można też zapomnieć o coraz popularniejszych wirtualnych serwerach w chmurach, które dziśpowołujemy do życia jak popadnie, korzystając z gotowychszablonów. Administratorów czeka teraz mozolne sprawdzanie, czywirtualne serwery, którymi zarządzają, nie zawierają w sobiepodatności. Całkiem realnie zapowiada się też możliwośćwykorzystania Heartbleeda do wzmocnienia innych ataków – możliwośćzdobycia wycieków pamięci wiele tych luk, które uważano za trudnedo wykorzystania, czyni teraz całkiem łatwymi celami.
O ile jednak można uwierzyć, żeprofesjonaliści sobie w końcu poradzą, to gorzej wygląda sytuacjaz końcowymi użytkownikami. Tych trzeba szkolić, by wyrobili wsobie nawyk sprawdzania dat wystawienia certyfikatów kluczowychwitryn (np. bankowych), z których korzystają. Wystarczająco trudnebyło jednak nauczenie ludzi, by sprawdzali samą obecnośćcertyfikatu – jak zachęcić ich do sprawdzenia aktualności, niebardzo wiadomo. Jedyna dobra wiadomość jest taka, że najważniejszeprzeglądarki dla Windows zostały skompilowane z wykorzystaniemnatywnych dla tego systemu implementacji bibliotek kryptograficznych,nie linkuje do OpenSSL.
Nie najlepiej też wyglądająreakcje branży. Listatych producentów oprogramowania i sprzętu, którzy odnieśli siędo luki Heartbleed, nie jest długa – są na niej m.in. Cisco,Juniper, Novell/SUSE, RedHat i Slackware. Powinno być znacznie więcej.Lepiej wyglądają reakcje administratorów witryn, które okazałysię podatne na ataki. Do 8 kwietnia spośród 10 tys.najpopularniejszych stron, zaatakować można było w ten sposób aż630, w tym witryny adresowane do programistów, takie jakstackexchange.com, xda-developers.com, czy php.net. Ich pełną listęznajdziecie tutaj.
Google początkowo teżznajdowało się na tej liście, ale zatamowałokrwawienie z serca tak szybko, jak to było możliwe w niemalwszystkich swoich usługach. Pozostało jedynie zabezpieczenieadresowanych do biznesu urządzeń Google Search Appliance,oczywiście też użytkownicy chmury Google'a muszą samodzielniezaktualizować w niej swoje serwerowe instancje. Google Chrome iGoogle Chrome OS są bezpieczne. A co z Androidem? Tu uważać musząposiadacze urządzeń z tym systemem w wersji 4.1.1. Mountain Viewinformuje, że wszystkie pozostałe wersje Androida są odporne naatak – a informacje o łatkach do podatnej wersji są udostępnianeproducentom sprzętu.
Naszym Czytelnikom przypominamy,że w kwestii zmieniania haseł do serwisów internetowych należyzachować rozwagę. Po pierwsze należy ustalić, czy dany serwis byłnarażony. W uproszczeniu można założyć, że jeśli działał namicrosoftowym IIS Serverze (jak np. dobreprogramy.pl), to nie mażadnej potrzeby zmiany hasła.
Jeśli jednak witryna byłapodatna na atak, wówczas należy ustalić, czy została ona jużzałatana. Można to zrobić za pomocą narzędzia Heartbleedtest. Zmiana haseł w serwisie wciąż podatnym na atak nie masensu – nowe hasło może być przejęte przez hakerów. Jeśliwitrynę załatano, oczywiście hasło należy zmienić.
Przy okazji zmiany haseł wartosię zastanowić, czy nie byłoby dobrze sięgnąć po menedżerhaseł, takim jak choćby PasswordSafe, rekomendowany przez samego Bruce'a Schneiera. Dzięki niemumożemy wygodnie stosować bardzo mocne hasła, bez obawy, że ktośpostronny uzyska do nich dostęp.
