Привіт Гість ( Вхід | Реєстрація )

 
Reply to this topicStart new topic
> Последствия OpenSSL HeartBleed, Обнаружена большая уязвимость
gladiator_maximus
Apr 10 2014, 16:14
Пост #1


Все буде Україна!
********

Група: Trusted Members
Повідомлень: 1 036
З нами з: 29-January 10
З: 47°52'N,35°03'E
Користувач №: 1 284
Стать: Чол
Free-DC_CPID
Парк машин:
ЦП-AMD FX 8300 3.6 GHz, ГП-Radeon RX 480 4 Gb; ОЗУ- DDR3 24 GB (1600MHz); SSD Iridium 256 Gb; HDD- Toshiba 2Tb+4Tb; / Intel® Xeon® CPU E5-2640 2.80GHz/16Gb DDR3 1333/RX 480 8 Gb/SSD 120 Gb



HeartBleed может стать, если уже не стала, самой большой информационной уязвимостью вообще.
По какой-то причине, активность дискуссии в оригинальном топике не очень высока, что вызывает у меня крайне высокую степень удивления.

Что произошло?

1 января 2012 года, Robin Seggelmann отправил, а steve проверил commit, который добавлял HeartBeat в OpenSSL. Именно этот коммит и привнес уязвимость, которую назвали HeartBleed.

Насколько она опасна?
Эта уязвимость позволяет читать оперативую память кусками размером до 64КБ. Причем уязвимость двусторонняя, это значит, что не только вы можете читать данные с уязвимого сервера, но и сервер злоумышленника может получить часть вашей оперативной памяти, если вы используете уязвимую версию OpenSSL.

Злоумышленник может подключиться к, предположим, уязвимому интернет-банку, получить приватный SSL-ключ из оперативной памяти и выполнить MITM-атаку на вас, а ваш браузер будет вести себя так, будто бы ничего и не произошло, ведь сертификат-то верный. Или просто может получить ваш логин и пароль.

Каков масштаб трагедии?

По моим оценкам, примерно ⅔ вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ⅓ из них были уязвимы до сегодняшнего дня.

Уязвимость была/есть, как минимум, у:
8 банков
2 платежных систем
8 VPN-провайдеров
mail.yandex.ru
mail.yahoo.com


Используя уязвимость, с mail.yandex.ru можно было получить письма пользователей вместе с HTTP-заголовками (и, подставив cookie, зайти под этим пользователем), а, например, в АльфаБанке получать незашифрованные POST-данные с логином и паролем от Альфа.Клик (интернет-банкинг).

Что я предпринял?

Я не мог просто так сидеть и смотреть, как персональные данные пользователей утекают в руки злоумышленников.
Первым делом, я написал некоторым VPN-провайдерам, которые предоставляют доступ по протоколу OpenVPN, т.к. он мог быть уязвим. Затем, я начал искать уязвимости в системах, уязвимости в которых представляют наибольшую угрозу: банки, платежные системы, почтовые/jabber серверы. Я звонил и писал уязвимым сервисам. Как правило, до службы безопасности банков пробраться крайне сложно, и отвечают они только на почту. К сожалению, не все сервисы успели закрыть уязвимость, поэтому я пока воздержусь от оглашения их полного списка и буду их добавлять по мере закрытия уязвимости.

Что мне делать, как пользователю?

Если вы используете Linux, вам необходимо обновиться до последней доступной версии OpenSSL. Большинство дистрибутивов уже содержат пропатченную версию в репозиториях.
Если вы на OSX, вы, с большой верятностью, используете OpenSSL 0.9.8, которая не подвержена уязвимости, если вы не ставили версию новее вручную.

Если вы используете Windows, то, скорее всего, у вас нет OpenSSL. Если вы устанавливали его вручную (например, через cygwin), то убедитесь, что ваша версия не содержит уязвимости.

После того, как вы обновите OpenSSL перезапустите все приложения, его использующие!

Имейте ввиду — есть немаленькая вероятность, что ваши пароли уже у других лиц. Смените их, но не сейчас. Сейчас не заходите на уязвимые сайты. Проверить сайт на уязвимость можно по ссылкам ниже.

Что мне делать, как владельцу сайта/системному администратору?

Прежде всего, вы должны незамедлительно убедиться, уязвима ваша версия OpenSSL, или нет. Для HTTPS есть три сервиса: filippo.io/Heartbleed/, possible.lv/tools/hb/ и www.ssllabs.com/ssltest/. Обновите версию при необходимости. Убедитесь, что вы ставите версию с патчем, либо же 1.0.1.g.

Если у вас была уязвимая версия OpenSSL, вам следует отозвать старый SSL-сертификат — он, с большой вероятностью, скомпрометирован. Если у вас была уязвимость в сервисе — обязательно оповестите пользователей, чтобы они сменили пароли, и сбросьте сессии, если вы ими пользуетесь (PHPSESSID, JSESSID)

http://habrahabr.ru/post/218661/


--------------------
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Користувачів переглядають дану тему (1 Гостей і 0 Прихованих Користувачів)
0 Користувачів:

 



- Lo-Fi Версія Поточний час: 28th March 2024 - 12:11

Invision Power Board v1.3.3 © 1996 IPS, Inc.