Zdaj smo dobili še eno luknjo, tokrat na strežniški strani. Pomanjkljiva implementacija ti. heartbeat (TLS keepalive) razširitve v OpenSSL 1.0.1 napadalcu lahko omogoči pridobitev neposrednega dostopa do pomnilnika na strežniku, s tem pa tudi dostop do šifrirnega ključa za to sejo, ali celo zasebnega ključa od tega strežnika. V kodi je prisotna nekje od marca 2012. Glavni problem je v tem, da je OpenSSL ena najbolj popularnih knjižnic za šifriranje, prav tako pa jo uporabljata popularna spletna strežnika Apache in Nginx, na katerih sloni nekje dve tretjini vseh spletnih strani.
Varnostno podjetje CloudFlare, ki je skupaj s kolegi na Googlu tudi odkrilo napako, vsem prizadetim spletnim stranem priporoča takojšnjo nadgradnjo na sveži OpenSSL, ter, če je mogoče, tudi menjavo šifrirnih ključev in ponovno generiranje SSL certifikatov. Niso še prepričani, ali je napako kdo tudi aktivno izkoriščal, nameravajo pa zdaj to preveriti s pomočjo posebnih honeypot strežnikov. Ocene o tem se pričakujejo v kratkem. Če jo je, mu naj ne bi bilo težko priti tudi do zasebnega ključa, in to kar lepo na daljavo, brez potrebe po prestrezanju ene ali več obstoječih sej in brez puščanja kakršnih koli sledi na strežniku, npr. dnevniških zapisov.
Napadalec s posestjo zasebnega ključa bi lahko potem odklenil vso zajeto preteklo komunikacijo, razen seveda, če sta se takrat brskalnik in strežnik dogovorila še za posebni začasni sejni ključ (Perfect Forward Secrecy). Takšno možnost žal podpira le malo strežnikov; Slo-Tech recimo jo. Dalje bi napadalec lahko postopal tudi aktivno, npr. postavil svoji lažni spletni strežnik, ali izvedel man-in-the-middle napad.
Huda zadeva, tole bi znala biti top ranljivost desetletja...
Zdaj je vprašanje, kje naj dobim Windows binary od Nginx, ki ne vsebuje ranljivega OpsnSSLja. Sem namreč prelen, da bi šel compilat zadevo. Se priporočam:)
Meni napiše: "www.bitstamp.net IS VULNERABLE." Here is some data we pulled from the server memory: (we put YELLOW SUBMARINE there, and it should not have come back)
nkbm bankanet - OK slo-tech - OK yahoo mail - VULNERABLE epoti.abanka.si/ - OK in še z reddita: GoodOldGames (www.gog.com) - VULNERABLE Part of the Playstation Network - VULNERABLE
"#Bitstamp turns off its accregistration, login & all virtual currency withdrawal functions as a precaution following recent OpenSSL news." - impressive.
Za kritične zadeve (medicina, letalstvo,..) se po uporablja C in MISRA-C:2004 standard. Za ilustracijo 7 vrstic iz "The fix" iz tvojega linka vsebuje po tem standardu vsaj 5 napak (za dve pa nisem prepričan)
if cookie not in found:
f = open('cookies.txt', 'a')
f.write(cookie + '\n')
print cookie
Pravkar testiral na https://www.inexfinance.com in vrača session cookie in v velikem obsegu! Uspešno sem se prijavil na stran skozi sejo nekoga drugega. Predvidevam da vrača piškote uporabnikov, ki so trenutno prijavljeni, če dobimo vrnjen del vsebine pomnilnika, ne?
Rust bo po moje prava zamenjava za takšne sistemske stvari, samo stabilizirat se mora. Bi pa bla verjetno fajn Ada ampak se izven vojske sploh ne uporablja.
Nevem sicer če drži ampak pisanje nekoga ki je "zelo navdušen" nad Open SSL kodo. (Ironično stran javlja neveljaven SSL certifikat)
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
if cookie not in found: f = open('cookies.txt', 'a') f.write(cookie + '\n') print cookie
Pravkar testiral na https://www.inexfinance.com in vrača session cookie in v velikem obsegu! Uspešno sem se prijavil na stran skozi sejo nekoga drugega. Predvidevam da vrača piškote uporabnikov, ki so trenutno prijavljeni, če dobimo vrnjen del vsebine pomnilnika, ne?
Zakaj bi pa ravno on moral zastonj dajati informacije, ki jih je pridobil z delom ? A so mogoče šalabajzerji tudi zastonj naredili tisto hroščato stran za banko ? In potem je čudno, da exploiti pristanejo pri bot overlordih.
Te exploiti so mi izredno zanimivi. Enkrat bom naštudiral kako točno delujejo. Vem, da izkoriščajo luknjo, da ne program ne preverja dolžine stringa in ga kar zapiše v ram. Samo ni mi pa jasno, kako potem izvedeš svojo kodo.
Te exploiti so mi izredno zanimivi. Enkrat bom naštudiral kako točno delujejo. Vem, da izkoriščajo luknjo, da ne program ne preverja dolžine stringa in ga kar zapiše v ram. Samo ni mi pa jasno, kako potem izvedeš svojo kodo.
Posljes svoj heartbeat request, kjer podturis svoj size payloada, ki je vecji od dejanskega. :)
Te exploiti so mi izredno zanimivi. Enkrat bom naštudiral kako točno delujejo. Vem, da izkoriščajo luknjo, da ne program ne preverja dolžine stringa in ga kar zapiše v ram. Samo ni mi pa jasno, kako potem izvedeš svojo kodo.
Corelan ma za moje pojme precej dobro obrazloženo kako exploiti delajo, tehnike kako se zaobide zaščite (safeseh, dep, aslr) itd.
Nekje sem prebral, da strokovnjaki svetujejo spremembo gesel!? Kakšnih gesel? Mogoče si jaz tole napačno predstavljam, ampak če vse napisano o tej težavi res drži, potem ti nič ne pomaga spreminjanje gesel, ampak morajo vsi ti ranljivi strežniki menjati strežniška digitalna potrdila.
Namesto zlorabe te luknje bo po moje sedaj veliko več druge vrste zlorabe. In sicer bodo sedaj ljudje začeli dobivati maile v stilu, zaradi hertbleeda kliknite na spodnjo povezavo in zamenjajte geslo... Seveda sporočila ne bodo od resničnega ponudnika storitev, kaj se bo zgodilo po kliku na link in vpisu gesla pa verjetno ni treba razlagat.
Bloomberg is reporting that the Heartbleed bug, which shocked the web security community this week, has been known and actively exploited by the National Security Agency for at least two years. According to two anonymous sources familiar with the matter, the bug was kept secret in the interest of national security, while the agency used it to obtain passwords and other data. Since the bug was first committed in 2012, the report suggests the NSA discovered the bug and maintained access for nearly the entire lifespan of Heartbleed.
Neumnost brez primere, če ne bo pisanje v domeni ducata genijalcev in se odvijalo komorno.
Koliko je še druge kode, kjer se potencialno skrivajo podobni hrošči. Miljavžent. Zanima me, koliko odkritih in/ali podtaknjenih hroščev imajo na lagerju razne varnostne agencije in podjetja, ki se ukvarjajo odkrivanjem in s prodajo le-teh. Še bolj zanimivo pa je vprašanje, mar se takšna podjetja kot je npr. Vupen ne ukvarjajo celo z izdelavo hroščev in podtikanjem, da jih zatem lahko fino prodajajo. Smisla bi že imelo.
?
