Video: TOP 10 KAKAIBANG TRABAHO SA BUONG MUNDO | RP TV FACTS (Nobyembre 2024)
Sa linggo mula noong isiniwalat ng mga mananaliksik ang kahinaan ng Puso sa OpenSSL, nagkaroon ng maraming talakayan tungkol sa kung anong uri ng mga attackers ng impormasyon ang maaaring makuha sa pamamagitan ng pagsasamantala sa bug. Lumiliko out ng maraming.
Tulad ng nabanggit nang Security Watch, ang Heartbleed ay ang pangalan ng isang bug sa OpenSSL na tumutulo ng impormasyon sa memorya ng computer. (Suriin ang mahusay na komiks ng XKCD na nagpapaliwanag ng kapintasan) Natagpuan ng mga mananaliksik na ang mga kredensyal sa pag-login, impormasyon ng gumagamit, at iba pang impormasyon ay maaaring maagaw sa pamamagitan ng pagsasamantala sa kapintasan. Inisip ng mga eksperto na posible na makuha ang pribadong key ng server sa ganitong paraan, pati na rin.
Ang mga sertipiko at pribadong mga susi ay ginagamit upang mapatunayan na ang isang computer (o mobile device) ay kumokonekta sa isang lehitimong Website at na ang lahat ng impormasyong ipinapasa ay naka-encrypt. Ipinapahiwatig ng mga browser ang isang ligtas na koneksyon sa isang padlock at nagpapakita ng isang babala kung hindi wasto ang sertipiko. Kung ang mga umaatake ay maaaring magnakaw ng mga pribadong key, maaari silang mag-set up ng isang pekeng website na magmumukhang lehitimo at makagambala ng mga data ng sensitibong gumagamit. Maaari din nilang i-decrypt ang naka-encrypt na trapiko sa network.
Ang Pagsubok sa Security Watch
Nagtataka upang makita kung ano ang magagawa namin sa isang server na nagpapatakbo ng isang mahina laban sa bersyon ng OpenSSL, sinimulan namin ang isang halimbawa ng Kali Linux at na-load ang module na Puso para sa Metasploit, isang balangkas sa pagsubok ng pagtagos mula sa Rapid7. Ang bug ay madaling sapat upang samantalahin, at natanggap namin ang mga string mula sa memorya ng mahina ang server. Awtomatiko namin ang proseso upang mapanatili ang paghagupit sa server na may paulit-ulit na mga kahilingan habang nagsasagawa ng iba't ibang mga gawain sa server. Matapos ang isang buong araw ng pagpapatakbo ng mga pagsubok, nakolekta namin ang maraming data.
Ang pagkuha ng mga username, mga password at session ID ay naging medyo madali, bagaman inilibing sila sa loob ng mukhang isang buong gobblygook. Sa isang tunay na senaryo sa buhay, kung ako ay isang mang-atake, ang mga kredensyal ay maaaring ninakaw nang napakabilis at stealthily, nang hindi nangangailangan ng maraming teknikal na kadalubhasaan. Mayroong isang elemento ng swerte na kasangkot, bagaman, dahil ang kahilingan ay kailangang pindutin ang server sa tamang oras kapag may isang tao na nag-log in o nakikipag-ugnay sa site upang makuha ang impormasyon "sa memorya." Kailangang matumbok ng server ang tamang bahagi ng memorya, at hanggang ngayon, hindi pa namin nakita ang isang paraan upang makontrol iyon.
Walang mga pribadong key na nagpakita sa aming nakolekta na data. Mabuti yan, di ba? Nangangahulugan ito sa kabila ng aming pinakapangit na sitwasyon ng senaryo, hindi madaling kunin ang mga susi o sertipiko mula sa mga mahina na server - isang mas kaunting bagay para sa ating lahat na mag-alala sa mundo ng post-Heartbleed na ito.
Kahit na ang mga matalinong tao sa Cloudflare, isang kumpanya na nagbibigay ng mga serbisyong pangseguridad para sa mga Website, tila sumasang-ayon na hindi ito isang madaling proseso. Hindi imposible, ngunit mahirap gawin. "Ginugol namin ang karamihan sa oras na nagpapatakbo ng malawak na mga pagsubok upang malaman kung ano ang maaaring mailantad sa pamamagitan ng Heartbleed at, partikular, upang maunawaan kung ang mga pribadong SSL key data ay nanganganib, " Nick Sullivan, isang engineer ng system sa Cloudflare, sa una ay nagsulat sa blog ng kumpanya noong nakaraang linggo. "Kung posible, ito ay nasa pinakamababang mahirap, " dagdag ni Sullivan.
Ang kumpanya ay nag-set up ng isang mahina laban sa nakaraang linggo at tinanong ang komunidad ng seguridad na subukang makuha ang pribadong pag-encrypt ng susi ng server gamit ang Heartbleed bug.
Ngunit, Sa totoo lang …
Ngayon ay ang lakas ng crowdsourcing. Siyam na oras matapos maitaguyod ng Cloudflare ang hamon nito, matagumpay na nakuha ng isang security researcher ang pribadong key matapos na magpadala ng 2.5 milyong mga kahilingan sa server. Ang pangalawang mananaliksik ay nakagawang gawin ito ng mas kaunting mga kahilingan - mga 100, 000, sinabi ni Sullivan. Sinundan pa ng dalawang mananaliksik ang angkop sa katapusan ng linggo.
"Ang resulta na ito ay nagpapaalala sa amin na huwag maliitin ang kapangyarihan ng karamihan at bigyang-diin ang panganib na dulot ng kahinaan na ito, " sabi ni Sullivan.
Bumalik kami sa pag-setup ng pagsubok. Sa oras na ito, ginamit namin ang programa ng heartleech mula kay Robert Graham, CEO ng Errata Security. Tumagal ng oras, natupok ng maraming bandwidth, at nakabuo ng mga tonelada ng data, ngunit sa kalaunan nakuha namin ang susi. Kailangan nating subukan laban sa iba pang mga server upang matiyak na hindi ito isang talo. Susuriin din ng Security Watch kung paano inilalagay ang katotohanang ang OpenSSL ay naka-install sa mga router at iba pang mga kagamitan sa networking ay nanganganib sa mga aparatong ito. Mag-update kami kapag mayroon kaming mas maraming mga resulta.
Sa halip na hindi malamang, "kahit sino ay madaling makakuha ng isang pribadong key, " pagtatapos ni Graham. Nakakatakot isipin iyon.
