Superbugi HeartBleed ja sen vaikutukset

”Heartbleed on siinä mielessä loistava turva-aukko, että kerrankin käyttäjän ei tarvitse päivittää mitään. Kaikki työ jää web-palveluiden ylläpidon vastuulle. Älypuhelimista tai työasemista Heartbleedin käyttö olisi erittäin vaikeaa.

Missään en ole nähnyt tarkkaa kuvausta siitä, miten Heartbleed-bugia oikeasti voi hyödyntää. Voi olla, että OpenSSL-kirjastoa käytetään 66 % nettipalveluista, mutta kyse on vasta teknisestä haavoittuvuudesta. Riski syntyy siitä, miten helppo Heartbleediä on hyödyntää ja miten vakavaa vahinkoa sillä voi saada aikaan.

Heartbleedin avulla palvelimen muistin sisältöä voidaan ”lypsää” sitä sopivasti kysyvälle ohjelmalle. Tulokset ovat satunnaisia. Voi olla, että hyökkääjä saa pelkkää bittiroskaa. Toisaalta hän voi saada edellisten käyttäjien tunnuksia, salasanoja ja jopa palvelimen omat salausavaimet. Pahinta on, ettei tästä jää mitään merkkejä palvelimen lokiin. Ylläpidon on siis mahdotonta tietää, onko heiltä lypsetty salaista tietoa. Havainnollinen kuva asiasta on täällä, hyvä selitys suomeksi myös täällä.

Hyökkäyksen kohdistaminen tiettyyn käyttäjään on kuitenkin vaikeaa. Hyökkääjän pitäisi ensin saada uhri ottamaan yhteyttä omaan koneeseensa ja sen jälkeen jatkaa Man-in-the-middle-tekniikalla suojatulle palvelimelle. Ei kovin helppoa.

Lisäksi on mahdollista hyökätä OpenSSL:ää käyttäviä kuormanjakopalvelimia vastaan ja saada — jälleen kerran satunnaisten — ihmisten tunnuksia. Toisaalta kaikki OpenSSL:ää käyttävät ohjelmistot eivät hyödynnä kirjaston Heartbeat-ominaisuutta, joten niissä vaaraa ei ole.

Vaikka haavoittuvuus on vakava, sen hyödyntäminen on jossain määrin onnen kauppaa ja vaatii sen verran yritystä, että tuskin kukaan jaksaa nähdä vaivaa Facebookin tai Twitterin salasanojen vuoksi. Pankkipalvelut ovat sitten toinen juttu.

Pahinta, mitä hyökkääjä voi Heartbleedin avulla saada, on palvelimen oma SSL-avain. Sillä pystyisi avaamaan kaikki aiemmat (jos niiden salattu liikenne on kaapattu ja tallennettu) sekä tulevat SSL-salatut yhteydet. En pysty arvioimaan tämän riskin suuruutta, oletan sen aika pieneksi. Lisäksi PFS-tekniikkaa (Perfect Forward Secrecy) käyttävät avaintenvaihtoprotokollat ovat suojassa. Niitä käyttävät mm. Facebook ja Nordea palveluissaan”

Ote Petteri Järvisen blogista

’OpenSSL on yleisesti käytössä oleva avoimen lähdekoodin SSL- (Secure Sockets Layer), TLS- (Transport Layer Security) ja DTLS- (Datagram Transport Layer Security) protokollatoteutus sekä salauskirjasto. OpenSSL:ää käytetään esimerkiksi www-palvelinten https-toteutuksissa, sekä sähköpostipalveluiden viestiliikenteen salaamisessa asiakaskoneen ja palvelimen välillä.

Haavoittuvuus liittyy TLS:n heartbeat-protokollaan, jota käytetään TLS-istunnon ylläpitämiseen. OpenSSL-kirjaston toteutus kyseisestä protokollasta voi palauttaa vastauspaketissaan pyydetyn määrän, kuitenkin korkeintaan 65 kilotavua, satunnaista muistin sisältöä. Palautetun sisällön joukossa on testeissa havaittu muiden käyttäjien viestien sisältöä, käyttäjätunnus-salasanapareja, evästeitä, istuntokohtaisia avaimia ja palvelun käyttämiä salaisia avaimia. Toistamalla protokollapyyntöjä voi olla mahdollista saada lisää muistisisältöä. Hyökkäyksestä ei ole todettu jäävän jälkiä sovelluslokeihin.’

Kyberturvallisuuskeskus: https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-049.html

Aukon virallinen nimi on CVE-2014-0160, mutta se tunnetaan nimellä Heartbleed.[1] Se aiheuttaa verkkopalveluille monia riskejä, koska haavoittuvuuden kautta saattoi vuosien ajan vuotaa sekä palvelun käyttäjien salasanoja ja käyttäjätunnuksia sekä salatun yhteyden luomista varten tarvittava palvelinsertifikaatin salausavain. Hyökkääjä voi tällöin urkkia käyttäjien käyttäjätunnuksia.[2] Haavoittuvuuden koodasi saksalainen Robin Seggelman uutenavuotena 2011.[3]

Haavoittuvia OpenSSL-kirjastoja käyttäneistä palveluista on vaihdettava salasanat, mutta vasta sen jälkeen, kun palvelun haavoittuvuus on korjattu. Mahdollisuus palvelinsertifikaatin salausavaimen vuotamiseen aiheuttaa verkkourkintariskin. Suomalaisten käyttämiä tälle haavoittuvuudelle altistuneita palveluja ovat Google, Facebook, Instagram, Pinterest, Tumblr, Yahoo, Amazon.com, Dropbox, GitHub, SoundCloud ja Wikipedia.[2]

Haavoittuvuuden löysivät samanaikaisesti oululaisen tietoturvayhtiö Codenomiconin tutkijat Riku, Antti ja Matti sekä Google Securityn tutkija Neel Mehta.[4][5] Löytäjät myös tuotteistivat haavoittuvuuden luomalla sille nimen ja logon.

wikipedia: http://fi.wikipedia.org/wiki/Heartbleed-haavoittuvuus

Näin helppoa Heartbleed-murto on: suomalainen hakkeri laittoi ruokaa ja katseli vierestä, kun ohjelmisto hoiti homman

Tietoviikko 15.4.2014 9:52

Heartbleed logoHaavoittuneet Palvelimet

 

 

Heartbeat-haavoittuvuus – mitä sinun pitäisi tietää ?

1 Vastaus to “Superbugi HeartBleed ja sen vaikutukset”

  1. removalists canberra sanoo:

    Thanks a bunch for sharing this with all people you really recognize what you’re speaking approximately!
    Bookmarked. Kindly also seek advice from my web site =).
    We may have a hyperlink alternate contract between us

Vastaa viestiin

You must be logged in to post a comment.