ビデオ: Kuwaiti ÙÆ'ويتيأغنية ÙÆ'واليتينت clipnabber com (十一月 2024)
OpenSSLのHeartbleed脆弱性を研究者が開示してから1週間、バグを悪用することで攻撃者が実際に取得できる情報について多くの議論がありました。 かなり多くのことが判明しました。
Security Watchが以前に指摘したように、Heartbleedはコンピューターのメモリ内の情報を漏らすOpenSSLのバグの名前です。 (XKCDの欠陥を説明した 素晴らしい 漫画をチェックしてください)研究者は、欠陥を悪用することでログイン資格情報、ユーザー情報、その他の情報を傍受できることを発見しました。 専門家は、この方法でもサーバーの秘密鍵を取得することが可能であると考えていました。
証明書と秘密鍵は、コンピューター(またはモバイルデバイス)が正当なWebサイトに接続しており、渡されるすべての情報が暗号化されていることを確認するために使用されます。 ブラウザは、南京錠による安全な接続を示し、証明書が無効な場合は警告を表示します。 攻撃者が秘密キーを盗むことができる場合、彼らは合法的に見え、機密のユーザーデータを傍受する偽のWebサイトをセットアップできます。 また、暗号化されたネットワークトラフィックを解読することもできます。
セキュリティウォッチテスト
OpenSSLの脆弱なバージョンを実行しているサーバーで何ができるかを知りたいので、Kali Linuxのインスタンスを起動し、Rapid7の侵入テストフレームワークであるMetasploitのHeartbleedモジュールをロードしました。 このバグは簡単に悪用でき、脆弱なサーバーのメモリから文字列を受け取りました。 サーバーでさまざまなタスクを実行しながら、リクエストを繰り返してサーバーにアクセスし続けるようにプロセスを自動化しました。 テストを1日実行した後、多くのデータを収集しました。
ユーザー名、パスワード、およびセッションIDの取得はかなり簡単であることが判明しましたが、それらはまるで多くのゴッブリックのように見えるものの中に埋もれていました。 現実のシナリオでは、私が攻撃者だった場合、多くの技術的な専門知識を必要とせずに、資格情報を非常に迅速かつ密かに盗むことができます。 ただし、「メモリ内」の情報を取得するために誰かがサイトにログインまたは対話しているときに、リクエストが適切なタイミングでサーバーにヒットする必要があったため、運の要素があります。 また、サーバーはメモリの適切な部分をヒットする必要がありましたが、現在のところ、それを制御する方法は見当たりません。
収集されたデータには秘密鍵は表示されませんでした。 いいですね 最悪のシナリオの懸念にもかかわらず、脆弱なサーバーからキーまたは証明書を取得するのは簡単ではないことを意味します。このハートビート後の世界で私たち全員が心配する必要はありません。
ウェブサイトにセキュリティサービスを提供する会社であるCloudflareの優秀な人でさえ、簡単なプロセスではないことに同意しているようです。 不可能ではありませんが、難しいことです。 CloudflareのシステムエンジニアであるNick Sullivanは、「Heartbleedを介して何が公開されるのか、特にSSLプライベートキーデータが危険にさらされているかどうかを把握するために、多くの時間を費やしました」先週の会社のブログ。 「可能であれば、少なくとも非常に難しい」とサリバンは付け加えた。
同社は先週脆弱なサーバーをセットアップし、Heartbleedバグを使用してサーバーの秘密暗号化キーを取得しようとするようセキュリティコミュニティに依頼しました。
でも実は…
クラウドソーシングの力が今や現れます。 Cloudflareがチャレンジを設定してから9時間後、セキュリティ研究者は250万件のリクエストをサーバーに送信した後、秘密鍵を正常に取得しました。 2番目の研究者は、はるかに少ないリクエストで同じことを何とかできました。約10万人です。 週末にさらに2人の研究者が追随した。
「この結果は、群衆の力を過小評価しないことを思い出させ、この脆弱性によってもたらされる危険性を強調します」とサリバンは言いました。
テストのセットアップに戻りました。 今回は、Errata SecurityのCEOであるRobert Grahamのheartleechプログラムを使用しました。 何時間もかかり、多くの帯域幅を消費し、大量のデータを生成しましたが、最終的にはキーを取得しました。 次に、他のサーバーに対してテストして、これがまぐれではないことを確認する必要があります。 セキュリティウォッチは、OpenSSLがルーターやその他のネットワーク機器にインストールされているという事実が、これらのデバイスを危険にさらす方法についても調査します。 結果が増えたら更新します。
「誰でも簡単に秘密鍵を入手できる」とは考えにくいというよりも、グラハムは結論付けました。 それは怖い考えです。