Відео: Настя и сборник весёлых историй (Листопад 2024)
У квітні ми дізналися, що помилка в популярній бібліотеці кодів OpenSSL може змусити зловмисників забирати пам'ять із нібито захищених серверів, потенційно захоплюючи облікові дані для входу, приватні ключі тощо. Отримавши назву "Heartbleed", ця помилка існувала роками, перш ніж її виявили. Більшість дискусій цього помилки передбачали, що хакери будуть використовувати його на захищених серверах. Однак новий звіт демонструє, що його можна легко експлуатувати як на серверах, так і на кінцевих точках під управлінням Linux та Android.
Луїс Гранджея, дослідник SysValue, створив бібліотеку кодів із підтвердженням концепції, яку він називає "Амуром". Амур складається з двох патчів до існуючих бібліотек коду Linux. Один дозволяє «злому серверу» використовувати Heartbleed на вразливих клієнтах Linux та Android, а інший дозволяє «злому клієнту» атакувати сервери Linux. Grangeia зробила вихідний код вільним доступом, сподіваючись, що інші дослідники приєднаються, щоб дізнатися більше про те, які типи можливих атак.
Не всі вразливі
Амур спеціально працює проти бездротових мереж, які використовують розширюваний протокол аутентифікації (EAP). Ваш домашній бездротовий маршрутизатор майже напевно не використовує EAP, однак більшість рішень на рівні Enterprise. За словами Grangeia, навіть деякі провідні мережі використовують EAP та, отже, вони будуть вразливими.
Система, зафіксована з кодом Купідона, має три можливості захопити дані з пам'яті жертви. Він може напасти ще до того, як захищене з'єднання буде навіть встановлено, що трохи насторожує. Він може напасти після рукостискання, що встановлює безпеку. Або може напасти після того, як будуть передані дані програми.
Що стосується лише того, що може зафіксувати пристрій, обладнаний Амуром, Grangeia не настільки чітко визначив, що, хоча "побіжна перевірка знайшла цікаві речі як для вразливих клієнтів, так і для серверів". Чи може цей "цікавий матеріал" включати приватні ключі або облікові дані користувачів, поки не відомо. Частина причини звільнення вихідного коду полягає в тому, щоб отримати більше мізків, які працюють над виявленням таких деталей.
Що ти можеш зробити?
Android 4.1.0 і 4.1.1 використовують вразливу версію OpenSSL. Згідно з повідомленням Bluebox, пізніші версії технічно вразливі, але система обміну серцебиттям вимкнена, не даючи Heartbleed нічого використовувати.
Якщо ваш пристрій Android працює під керуванням 4.1.0 або 4.1.1, оновіть, якщо це можливо. Якщо ні, Grangeia радить, що "вам слід уникати підключення до невідомих бездротових мереж, якщо ви не оновите ROM".
Системи Linux, які підключаються за допомогою бездротового зв’язку, є вразливими, якщо OpenSSL не був виправлений. Тим, хто використовує такі системи, слід двічі перевірити, щоб переконатися, що патч у своєму місці.
Що стосується корпоративних мереж, які використовують EAP, Grangeia пропонує їм перевірити систему SysValue або іншим агентством.
Маки, вікна Windows та пристрої iOS не впливають. Одного разу, це Linux, який у біді. Ви можете прочитати повний пост Grangeia тут або переглянути презентацію слайд-шоу тут. Якщо ви самий дослідник, ви можете захопити код і трохи експериментувати.