Vídeo: 10 Trucos Inteligentes Para Sobrevivir en La Naturaleza (Outubro 2024)
Na semana em que os pesquisadores divulgaram a vulnerabilidade do Heartbleed no OpenSSL, houve muita discussão sobre que tipo de informações os invasores podem obter ao explorar o bug. Acontece bastante.
Como o Security Watch observou anteriormente, Heartbleed é o nome de um bug no OpenSSL que vaza informações na memória do computador. (Confira as ótimas histórias em quadrinhos do XKCD explicando a falha) Os pesquisadores descobriram que credenciais de login, informações do usuário e outras informações podem ser interceptadas explorando a falha. Especialistas pensaram que seria possível obter a chave privada do servidor dessa maneira também.
Certificados e chaves privadas são usados para verificar se um computador (ou dispositivo móvel) está se conectando a um site legítimo e se todas as informações transmitidas são criptografadas. Os navegadores indicam uma conexão segura com um cadeado e mostram um aviso se o certificado for inválido. Se os invasores pudessem roubar chaves privadas, poderiam criar um site falso que pareceria legítimo e interceptaria dados confidenciais do usuário. Eles também poderiam descriptografar o tráfego de rede criptografado.
O teste do Security Watch
Curiosos para ver o que poderíamos fazer com um servidor executando uma versão vulnerável do OpenSSL, iniciamos uma instância do Kali Linux e carregamos o módulo Heartbleed para o Metasploit, uma estrutura de teste de penetração do Rapid7. O bug foi fácil de explorar e recebemos seqüências de caracteres da memória do servidor vulnerável. Automatizamos o processo para continuar atingindo o servidor com solicitações repetidas enquanto executamos várias tarefas no servidor. Após um dia inteiro de execução dos testes, coletamos muitos dados.
A obtenção de nomes de usuário, senhas e IDs de sessão acabou sendo bastante fácil, apesar de estarem enterrados no que parece ser um monte de gobblygook. Em um cenário da vida real, se eu fosse um invasor, as credenciais podem ser roubadas muito rapidamente e furtivamente, sem a necessidade de muita experiência técnica. Há um elemento de sorte envolvido, no entanto, uma vez que a solicitação teve que atingir o servidor no momento certo quando alguém estava efetuando login ou interagindo com o site para obter as informações "na memória". O servidor também teve que atingir a parte correta da memória e, até o momento, ainda não vimos uma maneira de controlar isso.
Nenhuma chave privada apareceu nos nossos dados coletados. Isso é bom né? Isso significa que, apesar do pior cenário possível, não é fácil obter chaves ou certificados de servidores vulneráveis - menos uma coisa para todos nós nos preocuparmos neste mundo pós-Heartbleed.
Até o pessoal inteligente da Cloudflare, uma empresa que fornece serviços de segurança para sites, parecia concordar que não era um processo fácil. Não é impossível, mas difícil de fazer. "Passamos grande parte do tempo executando testes extensivos para descobrir o que pode ser exposto via Heartbleed e, especificamente, para entender se os dados das chaves SSL privadas estavam em risco", escreveu inicialmente Nick Sullivan, engenheiro de sistemas da Cloudflare no site blog da empresa na semana passada. "Se possível, é no mínimo muito difícil", acrescentou Sullivan.
A empresa configurou um servidor vulnerável na semana passada e pediu à comunidade de segurança que tentasse obter a chave de criptografia privada do servidor usando o bug do Heartbleed.
Mas na verdade…
Agora vem o poder do crowdsourcing. Nove horas depois que o Cloudflare estabeleceu seu desafio, um pesquisador de segurança obteve com sucesso a chave privada após enviar 2, 5 milhões de solicitações ao servidor. Um segundo pesquisador conseguiu fazer o mesmo com muito menos pedidos - cerca de 100.000, disse Sullivan. Mais dois pesquisadores seguiram o exemplo no fim de semana.
"Esse resultado nos lembra de não subestimar o poder da multidão e enfatiza o perigo representado por essa vulnerabilidade", disse Sullivan.
Voltamos à nossa configuração de teste. Desta vez, usamos o programa heartleech de Robert Graham, CEO da Errata Security. Demorou horas, consumiu muita largura de banda e gerou toneladas de dados, mas finalmente obtivemos a chave. Agora, precisamos testar contra outros servidores para garantir que isso não foi por acaso. O Security Watch também explorará como o fato de o OpenSSL estar instalado em roteadores e outros equipamentos de rede coloca esses dispositivos em risco. Atualizaremos quando tivermos mais resultados.
Em vez de ser improvável, "qualquer pessoa pode facilmente obter uma chave privada", concluiu Graham. Esse é um pensamento assustador.
