וִידֵאוֹ: Pedro Gonçalves (Sporting): Golos até à 7.ª jornada (Liga 2020/2021) (נוֹבֶמבֶּר 2024)
באפריל נודע לנו כי באג בספריית הקוד הפופולרית של OpenSSL יכול לאפשר לתוקפים לגייס זיכרון משרתים מאובטחים כביכול, לכבוש את פרטי הכניסה, מפתחות פרטיים ועוד. נקרא "Heartbleed", באג זה קיים שנים לפני שהתגלה. מרבית הדיונים בנושא באג זה הניחו שהאקרים ישתמשו בו נגד שרתים מאובטחים. עם זאת, דוח חדש מדגים שניתן לנצל אותו בקלות הן על שרתים והן על נקודות קצה שמריצות לינוקס ואנדרואיד.
לואיס גרנג'יה, חוקר ב- SysValue, יצר ספריית קוד של הוכחת מושג שהוא מכנה "קופידון". קופידון מורכב משני טלאים לספריות קוד לינוקס קיימות. האחד מאפשר ל"שרת שרת "לנצל את Heartbleed על לקוחות Linux ואנדרואיד פגיעים, ואילו השני מאפשר ל"לקוח מרושע" לתקוף את שרתי לינוקס. גרנג'יה הפכה את קוד המקור לזמין בחופשיות, בתקווה שחוקרים אחרים יצטרפו ללמוד יותר על סוג התקפות אפשריות.
לא כולם פגיעים
קופידון פועל באופן ספציפי נגד רשתות אלחוטיות המשתמשות בפרוטוקול ה- EAP Extensible. הנתב האלחוטי הביתי כמעט ודאי אינו משתמש ב- EAP, אך רוב הפתרונות ברמת הארגון כן. על פי גרנג'יה, אפילו כמה רשתות קוויות משתמשות ב- EAP ומכאן שיהיו פגיעות.
למערכת שמטופלת בקוד קופידון יש שלוש הזדמנויות לתפוס נתונים מזיכרון הקורבן. זה יכול לתקוף עוד לפני שהחיבור המאובטח יבוצע, וזה קצת מדאיג. זה יכול לתקוף אחרי לחיצת היד שמבססת את הביטחון. לחלופין, זה יכול לתקוף לאחר שיתוף נתוני האפליקציה.
באשר בדיוק למה שמכשיר מצויד בקופידון יכול לתפוס, גרנג'יה לא קבעה בהרחבה, אם כי "בדיקה קלילה מצאה דברים מעניינים גם על לקוחות וגם על שרתים פגיעים." אם "דברים מעניינים" אלה עשויים לכלול מפתחות פרטיים או אישורי משתמש עדיין לא ידוע. חלק מהסיבה לשחרור קוד המקור היא לגרום למוח רב יותר לעבוד על גילוי פרטים כאלה.
מה אתה יכול לעשות?
אנדרואיד 4.1.0 ו- 4.1.1 שניהם משתמשים בגרסה פגיעה של OpenSSL. על פי דיווח מ- Bluebox, גרסאות מאוחרות יותר חשופות מבחינה טכנית, אך מערכת ההודעות של פעימות הלב אינה מושבתת, דבר שלא נותן ל Heartbleed שום דבר לנצל.
אם מכשיר ה- Android שלך פועל 4.1.0 או 4.1.1, שדרג במידת האפשר. אם לא, Grangeia ממליץ כי "עליך להימנע מחיבור לרשתות אלחוטיות לא ידועות אלא אם תשדרג את ה- ROM שלך."
מערכות לינוקס המתחברות דרך אלחוטית הן פגיעות אלא אם כן טופלה OpenSSL. מי שמשתמש במערכות כאלה צריך לבדוק שוב כדי לוודא שהתיקון נמצא במקום.
באשר לרשתות ארגוניות המשתמשות ב- EAP, גרנג'יה מציעה להיבדק במערכת על ידי SysValue או סוכנות אחרת.
מחשבי מקינטוש, תיבות Windows ומכשירי iOS אינם מושפעים. לשם שינוי, לינוקס זו נמצאת בבעיה. תוכלו לקרוא את הפוסט המלא של גרנג’יה כאן או לצפות במצגת מצגת כאן. אם אתה עצמך חוקר, ייתכן שתרצה לתפוס את הקוד ולעשות ניסויים קטנים.