Vídeo: Heartbleed Exploit - Discovery & Exploitation (Outubro 2024)
Em abril, descobrimos que um bug na popular biblioteca de códigos OpenSSL poderia permitir que invasores recuperassem a memória de servidores supostamente seguros, potencialmente capturando credenciais de login, chaves privadas e muito mais. Apelidado de "Heartbleed", esse bug existia há anos antes de ser descoberto. A maioria das discussões sobre esse bug supunha que os hackers o usariam contra servidores seguros. No entanto, um novo relatório demonstra que ele pode ser facilmente explorado em servidores e terminais executando Linux e Android.
Luis Grangeia, pesquisador do SysValue, criou uma biblioteca de códigos de prova de conceito que ele chama de "Cupido". O Cupid consiste em dois patches nas bibliotecas de códigos Linux existentes. Um permite que um "servidor maligno" explore o Heartbleed em clientes Linux e Android vulneráveis, enquanto o outro permite que um "cliente maligno" ataque os servidores Linux. A Grangeia disponibilizou o código fonte gratuitamente, na esperança de que outros pesquisadores se juntassem para aprender mais sobre que tipo de ataques são possíveis.
Nem todos são vulneráveis
O Cupid trabalha especificamente em redes sem fio que usam o EAP (Extensible Authentication Protocol). Seu roteador sem fio doméstico quase certamente não usa EAP, mas a maioria das soluções de nível corporativo usa. Segundo Grangeia, mesmo algumas redes com fio usam EAP e, portanto, seriam vulneráveis.
Um sistema corrigido com o código Cupid tem três oportunidades para obter dados da memória da vítima. Ele pode atacar antes mesmo da conexão segura, o que é um pouco alarmante. Pode atacar após o aperto de mão que estabelece a segurança. Ou pode atacar depois que os dados do aplicativo forem compartilhados.
Quanto ao que um dispositivo equipado com Cupido pode capturar, a Grangeia não determinou extensivamente que, embora "a inspeção superficial tenha encontrado coisas interessantes em clientes e servidores vulneráveis". Ainda não se sabe se essas "coisas interessantes" podem incluir chaves privadas ou credenciais de usuário. Parte da razão para liberar o código fonte é conseguir que mais cérebros trabalhem na descoberta de tais detalhes.
O que você pode fazer?
O Android 4.1.0 e 4.1.1 usam uma versão vulnerável do OpenSSL. De acordo com um relatório do Bluebox, as versões posteriores são tecnicamente vulneráveis, mas o sistema de mensagens de pulsação está desativado, dando ao Heartbleed nada a explorar.
Se o seu dispositivo Android estiver executando 4.1.0 ou 4.1.1, atualize se possível. Caso contrário, a Grangeia recomenda que "você deve evitar conectar-se a redes sem fio desconhecidas, a menos que atualize sua ROM".
Os sistemas Linux que se conectam via wireless são vulneráveis, a menos que o OpenSSL tenha sido corrigido. Aqueles que usam esses sistemas devem verificar duas vezes para garantir que o patch esteja no lugar.
Quanto às redes corporativas que usam EAP, a Grangeia sugere que eles testem o sistema pelo SysValue ou outra agência.
Macs, caixas do Windows e dispositivos iOS não são afetados. Pela primeira vez, é o Linux que está com problemas. Você pode ler a publicação completa da Grangeia aqui ou ver uma apresentação de slides aqui. Se você é um pesquisador, convém pegar o código e fazer algumas experiências.
