בשבוע שחלפו מאז שחשפו החוקרים את הפגיעות של Heartbleed ב- OpenSSL, היה דיון רב באיזה סוג של תוקפי מידע יכולים להשיג בפועל באמצעות ניצול הבאג. מסתבר לא מעט.
כפי שציין Security Watch קודם, Heartbleed הוא שמו של באג ב- OpenSSL שמדלף מידע בזיכרון המחשב. (עיין בקומיקס הגדול של XKCD שמסביר את הפגם) החוקרים מצאו כי ניתן היה ליירט אישורי כניסה, פרטי משתמש ומידע אחר על ידי ניצול הפגם. מומחים חשבו שניתן יהיה להשיג את המפתח הפרטי של השרת גם כך.
אישורים ומפתחות פרטיים משמשים כדי לאמת שמחשב (או מכשיר נייד) מתחבר לאתר לגיטימי וכי כל המידע המועבר מוצפן. הדפדפנים מציינים חיבור מאובטח עם מנעול ומראים אזהרה אם האישור אינו תקף. אם התוקפים יוכלו לגנוב מפתחות פרטיים, הם יוכלו להקים אתר מזויף שייראה לגיטימי ויירט נתוני משתמשים רגישים. הם גם יוכלו לפענח תעבורת רשת מוצפנת.
מבחן שמירת האבטחה
סקרן לראות מה יכולנו לעשות עם שרת שמריץ גרסה פגיעה של OpenSSL, הקמנו מופע של קאלי לינוקס והעמסנו את מודול Heartbleed עבור Metasploit, מסגרת בדיקת חדירה מ- Rapid7. הבאג היה קל מספיק לניצול וקיבלנו מחרוזות מהזיכרון של השרת הפגיע. אוטומצנו את התהליך כדי להכות את השרת בבקשות חוזרות תוך ביצוע משימות שונות בשרת. לאחר יום שלם של הפעלת הבדיקות, אספנו המון נתונים.
קבלת שמות משתמש, סיסמאות ומזהי הפעלה התבררו כקלות למדי, אם כי הם נקברו בתוך מה שנראה כמו הרבה גיבליוק. בתרחיש של החיים האמיתיים, אם הייתי תוקף, ניתן לגנוב את האישורים במהירות ובגניבה רבה, מבלי להזדקק למומחיות טכנית רבה. עם זאת, ישנו מרכיב של מזל, מכיוון שהבקשה נאלצה לפגוע בשרת בזמן הנכון כאשר מישהו התחבר לאתר או ביצעו אינטראקציה בכדי לקבל את המידע "בזיכרון." השרת היה צריך לפגוע גם בחלק הימני של הזיכרון, ונכון לעכשיו לא ראינו דרך לשלוט בזה.
לא הופיעו מפתחות פרטיים בנתונים שנאספו. זה טוב, נכון? המשמעות היא שלמרות החששות התרחישים הגרועים ביותר שלנו, לא קל לתפוס מפתחות או אישורים משרתים פגיעים - דבר אחד פחות שכולנו צריכים לדאוג לו בעולם הזה אחרי הלב.
אפילו האנשים החכמים ב- Cloudflare, חברה המספקת שירותי אבטחה לאתרי אינטרנט, כנראה הסכימו שזה לא תהליך קל. לא בלתי אפשרי, אבל קשה לביצוע. ניק סאליבן, מהנדס מערכות ב- Cloudflare, כתב בהתחלה כי "הקדשנו זמן רב לביצוע בדיקות מקיפות כדי להבין מה ניתן לחשוף באמצעות Heartbleed, ובאופן ספציפי כדי להבין אם נתוני מפתח SSL פרטיים היו בסיכון. הבלוג של החברה בשבוע שעבר. "אם זה אפשרי, זה לפחות קשה מאוד", הוסיף סאליבן.
החברה הקימה שרת פגיע בשבוע שעבר וביקשה מקהילת האבטחה לנסות להשיג את מפתח ההצפנה הפרטי של השרת באמצעות באג Heartbleed.
אבל למעשה…
עכשיו מגיע כוחה של ההמונים. תשע שעות לאחר שקבע Cloudflare את אתגרו, חוקר אבטחה השיג בהצלחה את המפתח הפרטי לאחר ששלח 2.5 מיליון בקשות לשרת. חוקר שני הצליח לעשות את אותו הדבר עם הרבה פחות בקשות - כמאה אלף, אמר סאליבן. שני חוקרים נוספים עקבו אחר כך בסוף השבוע.
"תוצאה זו מזכירה לנו לא לזלזל בכוחו של ההמון ומדגישה את הסכנה הנשקפת מפגיעות זו", אמר סאליבן.
חזרנו להגדרת הבדיקה שלנו. הפעם, השתמשנו בתוכנית הלב-ליבו של רוברט גרהאם, מנכ"ל אראטה אבטחה. זה לקח שעות, צרכנו רוחב פס רב ויצר טונות של נתונים, אך בסופו של דבר השגנו את המפתח. כעת עלינו לבדוק מול שרתים אחרים כדי לוודא שלא מדובר בפלייק. Security Watch יבדוק גם כיצד העובדה ש- OpenSSL מותקן על נתבים וציוד רשת אחר מסכנת התקנים אלה. אנו נעדכן כאשר יהיו לנו תוצאות נוספות.
במקום להיות לא סביר, "מישהו יכול להשיג מפתח פרטי בקלות", סיכם גרהם. זו מחשבה מפחידה.
