فيديو: Heartbleed Exploit - Discovery & Exploitation (شهر نوفمبر 2024)
في الأسبوع منذ أن كشف الباحثون عن هشاشة Heartbleed في OpenSSL ، كان هناك الكثير من النقاش حول نوع المعلومات التي يمكن للمهاجمين الحصول عليها بالفعل من خلال استغلال هذا الخطأ. تبين الكثير جدا.
كما لاحظت Security Watch في وقت سابق ، Heartbleed هو اسم الخلل في OpenSSL الذي يسرب المعلومات في ذاكرة الكمبيوتر. (تحقق من فكاهي XKCD الكبير الذي يشرح الخلل) وجد الباحثون أنه يمكن اعتراض بيانات اعتماد تسجيل الدخول ومعلومات المستخدم وغيرها من المعلومات عن طريق استغلال الخلل. اعتقد الخبراء أنه سيكون من الممكن الحصول على المفتاح الخاص للخادم بهذه الطريقة أيضًا.
تُستخدم الشهادات والمفاتيح الخاصة للتحقق من اتصال جهاز كمبيوتر (أو جهاز محمول) بموقع ويب شرعي ومن تشفير جميع المعلومات التي يتم تمريرها. تشير المتصفحات إلى اتصال آمن مع قفل وإظهار تحذير إذا كانت الشهادة غير صالحة. إذا تمكن المهاجمون من سرقة المفاتيح الخاصة ، فيمكنهم إنشاء موقع ويب مزيف يبدو شرعيًا ويعترض بيانات المستخدم الحساسة. يمكنهم أيضًا فك تشفير حركة مرور الشبكة المشفرة.
اختبار الأمن ووتش
فضولاً لمعرفة ما يمكن أن نفعله مع خادم يقوم بتشغيل إصدار ضعيف من OpenSSL ، بدأنا نسخة من Kali Linux وقمنا بتحميل وحدة Heartbleed لـ Metasploit ، إطار اختبار الاختراق من Rapid7. كان الخطأ سهلًا بما فيه الكفاية للاستغلال ، وتلقينا سلاسل من ذاكرة الخادم المعرضة للخطر. قمنا تلقائيًا بالعمل على الحفاظ على ضرب الخادم بطلبات مكررة أثناء القيام بمهام متنوعة على الخادم. بعد يوم كامل من إجراء الاختبارات ، جمعنا الكثير من البيانات.
لقد أصبح الحصول على أسماء المستخدمين وكلمات المرور ومعرفات الجلسات أمرًا سهلاً إلى حد ما ، على الرغم من أنهم دفنوا داخل مجموعة كبيرة من gobblygook. في سيناريو واقع الحياة ، إذا كنت مهاجمًا ، يمكن سرقة بيانات الاعتماد بسرعة فائقة وصعبة ، دون الحاجة إلى الكثير من الخبرة الفنية. هناك عنصر من الحظ الذي ينطوي عليه الأمر ، لأن الطلب كان يجب أن يصل إلى الخادم في الوقت المناسب عندما كان هناك شخص ما يقوم بتسجيل الدخول أو يتفاعل مع الموقع للحصول على المعلومات "في الذاكرة". كان على الخادم أيضًا الوصول إلى الجزء الأيمن من الذاكرة ، وحتى الآن ، لم نر طريقة للسيطرة على ذلك.
لا توجد مفاتيح خاصة تظهر في البيانات التي تم جمعها. هذا جيد حسنا؟ هذا يعني أنه على الرغم من مخاوفنا المتعلقة بأسوأ سيناريو ، فإنه ليس من السهل الحصول على مفاتيح أو شهادات من الخوادم الضعيفة - شيء أقل بالنسبة لنا جميعًا ما يقلقنا في هذا العالم ما بعد النبض.
حتى الأشخاص الأذكياء في Cloudflare ، وهي شركة تقدم خدمات أمنية للمواقع الإلكترونية ، بدوا متفقين على أنها لم تكن عملية سهلة. ليس مستحيلا ، ولكن من الصعب القيام به. "لقد قضينا الكثير من الوقت في إجراء اختبارات مكثفة لمعرفة ما يمكن كشفه عبر Heartbleed ، وعلى وجه التحديد ، لفهم ما إذا كانت بيانات مفتاح SSL الخاصة في خطر" ، كتب نيك سوليفان ، مهندس النظم في Cloudflare ، في البداية على مدونة الشركة الأسبوع الماضي. وأضاف سوليفان: "إذا كان ذلك ممكنًا ، فسيكون الحد الأدنى صعبًا للغاية".
أقامت الشركة خادمًا ضعيفًا الأسبوع الماضي وطلبت من مجتمع الأمان محاولة الحصول على مفتاح التشفير الخاص بالخادم باستخدام خلل Heartbleed.
لكن في الواقع...
الآن تأتي قوة التعهيد الجماعي. بعد تسع ساعات من إعداد Cloudflare للتحدي ، حصل باحث أمني بنجاح على المفتاح الخاص بعد إرسال 2.5 مليون طلب إلى الخادم. وقال سوليفان إن باحثًا آخر تمكن من فعل نفس الشيء مع طلبات أقل بكثير - حوالي 100000. حذو باحثان آخران في نهاية الأسبوع.
وقال سوليفان "هذه النتيجة تذكرنا بعدم التقليل من أهمية قوة الحشد وتؤكد الخطر الذي تشكله هذه الثغرة".
عدنا إلى الإعداد اختبار لدينا. هذه المرة ، استخدمنا برنامج heartleech من Robert Graham ، الرئيس التنفيذي لشركة Errata Security. استغرق الأمر ساعات ، واستهلك الكثير من النطاق الترددي ، وقمنا بإنشاء الكثير من البيانات ، لكننا حصلنا على المفتاح في النهاية. نحتاج الآن إلى الاختبار مقابل خوادم أخرى للتأكد من أن هذا لم يكن مجرد صدفة. سوف تستكشف Security Watch أيضًا كيف أن تثبيت OpenSSL على أجهزة التوجيه وأجهزة الشبكات الأخرى يعرض هذه الأجهزة للخطر. سنقوم بتحديث عندما يكون لدينا المزيد من النتائج.
وخلص غراهام إلى أنه بدلاً من أن يكون الأمر غير مرجح ، "يمكن لأي شخص بسهولة الحصول على مفتاح خاص". هذا فكر مخيف.