Το προφίλ μας στο Google Plus
0

Προσεγγίζοντας θετικά την καταστροφή!

Από τα λαμπάκια του ρούτερ, σε μία από τις σημαντικότερες ευπάθειες του διαδικτύου. Ένα παιδαριώδες σφάλμα στον κώδικα του OpenSSL, καθιστά κάθε κινηματογραφικό σενάριο ρεαλιστικό. Την ίδια στιγμή, η παρουσία του συγκεκριμένου σφάλματος στον κώδικα μιας τόσο κρίσιμης βιβλιοθήκης, ευνοεί την ανάπτυξη πρόσθετων σκοτεινών σεναρίων. Υπάρχει τίποτα χρήσιμο πίσω από όλον αυτό τον κουρνιαχτό;

Προσεγγίζοντας θετικά την καταστροφή!

…Τα αρπίσματα στο πιάνο δίνουν και παίρνουν. Το χέρι βγαίνει διστακτικά από τα σκεπάσματα, σκαρφαλώνει στο κομοδίνο και ψηλαφίζει την επιφάνεια, αναζητώντας το ξυπνητήρι. Το βρίσκει. Λίγο ακόμα σκαρφάλωμα κι η παλάμη καταφέρνει να βρει το μεγάλο οβάλ κουμπάκι. Το ξυπνητήρι αναπηδάει από τη δύναμη που δέχεται, αλλά τα αρπίσματα δεν σταματούν. Δεν ήταν το ξυπνητήρι, τελικά. Ήταν ο νέος ήχος κλήσης που είχε επιλέξει χτες το απόγευμα επειδή του φαινόταν ποιοτικός, ο οποίος τώρα ήταν απλά εξοργιστικός. Το χέρι βρίσκει τη συσκευή και τη μετακινεί κάπου πάνω από το κεφάλι. Τα μάτια ανοίγουν με δυσκολία και προσπαθούν να εστιάσουν στην εκτυφλωτική οθόνη. “Δεν το πιστεύω”, σκέφτεται ο Νικόλας. Είναι ο νέος συνάδελφος από τη δουλειά. “Αφού του είπα, του @#$%, να μη με πάρει τηλέφωνο εκτός κι αν αρπάξουν φωτιά οι σέρβερ!”. Απαντά στην κλήση και μουγκρίζει κάτι ανάμεσα στο “τι θες;” και στο “αυτό θα το μετανιώσεις” — αν και δεν χρησιμοποιεί καμία από αυτές τις λέξεις. Λίγα δευτερόλεπτα μετά, ο εκνευρισμός προς το συνάδελφο αντικαθίσταται από έναν παραλυτικό πανικό. “Μακάρι να είχαν πάρει φωτιά”, σκέφτεται. “Μα, γιατί δεν πήραν φωτιά;” Η σκέψη του Νικόλα κάνει άσκοπους κύκλους κι αποφεύγει την ουσία: Πόσοι το γνώριζαν αυτό; Μήπως πρόλαβαν να το εκμεταλλευτούν; Πώς θα το εξηγήσω στο διευθυντή που είναι άσχετος με τους υπολογιστές και τα δίκτυα;

Κάτι τέτοιο φανταζόμαστε να συνέβη σε διαχειριστές τραπεζικών κι άλλων κρίσιμων συστημάτων, όταν ανακοινώθηκε μια ευπάθεια στο OpenSSL που έγινε γνωστή ως Heartbleed:

<br />
OpenSSL Security Advisory [07 Apr 2014]<br />
========================================</p>
<p>TLS heartbeat read overrun (CVE-2014-0160)<br />
==========================================<br />
A missing bounds check in the handling of the<br />
TLS heartbeat extension can be used to reveal<br />
up to 64k of memory to a connected client or<br />
server.</p>
<p>Only 1.0.1 and 1.0.2-beta releases of OpenSSL<br />
are affected including 1.0.1f and 1.0.2-beta1.</p>
<p>Thanks for Neel Mehta of Google Security for<br />
discovering this bug and to Adam Langley<br />
&lt;agl@chromium.org&gt; and Bodo Moeller &lt;bmoeller@acm.org&gt;<br />
for preparing the fix.</p>
<p>Affected users should upgrade to OpenSSL 1.0.1g.<br />
Users unable to immediately upgrade can alternatively<br />
recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.</p>
<p>1.0.2 will be fixed in 1.0.2-beta2.<br />

Μήπως αναρωτιέστε για την ώρα δημοσίευσης του παραπάνω μηνύματος; Σκεφτείτε ότι μιλάμε για ένα bug σε ένα σύστημα που χρησιμοποιείται σε μια τεράστια μερίδα των web servers του πλανήτη, για τη διαχείριση ασφαλών συνδέσεων HTTPS. Όλο και κάπου θα ήταν ξημερώματα — και μάλιστα ανεξαρτήτως της σοβαρότητας του προβλήματος :P

Ολέθρια ευπάθεια
Ας σοβαρευτούμε, όμως. Το OpenSSL αποτελεί την πλέον διαδεδομένη υλοποίηση των πρωτοκόλλων TLS/SSL. Πρόκειται για τη μηχανή που αναλαμβάνει τη δημιουργία των κλειδιών κρυπτογράφησης, την ίδια την κρυπτογράφηση και, γενικότερα, τη διαχείριση των κρυπτογραφημένων συνδέσεων HTTPS στo web. Όπως δηλώνει και το όνομά του, το OpenSSL αποτελεί προϊόν Ανοιχτού Λογισμικού και αξίζει να σημειώσουμε ότι χρησιμοποιείται σε μερικά εκατομμύρια web servers. Σε αυτό ακριβώς το σύστημα, λοιπόν, εντοπίστηκε μια εξαιρετικά επικίνδυνη ευπάθεια, η οποία ονομάστηκε “Heartbleed”. Αξιοποιώντας την, ένας επιτιθέμενος μπορεί να κλέψει ακόμα και τα κλειδιά κρυπτογράφησης μιας συνεδρίας. Μετά από αυτό, η όποια μυστικότητα της σύνδεσης καταλύεται ολοκληρωτικά. Μάλιστα, αν ο επιτιθέμενος έχει προνοήσει κι έχει καταγράψει όλα τα κρυπτογραφημένα δεδομένα της συνεδρίας, θα μπορέσει να αποκρυπτογραφήσει ακόμα και τα στοιχεία σύνδεσης (username και password) που εξέπεμψε ο χρήστης. Σκεφτείτε τώρα την περίπτωση που η υπηρεσία με την ευάλωτη εκδοχή του OpenSSL, είναι το web interface μιας τράπεζας. Ο επιτιθέμενος θα μπορεί να συνδεθεί με τα στοιχεία του ανυποψίαστου πελάτη-θύματος και να του χαρίσει ένα ταξίδι στην κόλαση. Εν ολίγοις, το Heartbleed επιτρέπει την πραγματοποίηση όλων των σεναρίων που έχουμε παρακολουθήσει κατά καιρούς στον κινηματογράφο: Από τη σύνδεση σε μια κρατική υπηρεσία για την υποκλοπή μυστικών που μπορούν να προκαλέσουν ακόμη και πόλεμο, μέχρι τη σύνδεση στον server μιας σχολής, για την αλλοίωση της βαθμολογίας (για κάποιους, αυτό είναι πιο σημαντικό κι από την πρόκληση πολέμου :)) Μάλιστα, η σχετική επίθεση μπορεί να πραγματοποιηθεί εύκολα, γρήγορα και χωρίς να αφήσει το παραμικρό ίχνος. Όπως ήταν αναμενόμενο, η δημοσίευση αυτής της ευπάθειας έκανε μεγάλο ντόρο, διαδόθηκε αστραπιαία και τροφοδότησε διάφορα σενάρια συνωμοσίας.

Διαβάστε ολόκληρο το άρθρο στο deltaHacker 031 (τεύχος Απριλίου 2014).

Το μηνιαίο περιοδικό deltaHacker είναι αποκλειστικά ψηφιακό (μορφή PDF). Μάθετε για τις απίστευτες τιμές των συνδρομών αλλά και για τα εκτενή κι αναλυτικά video tutorials (deltaCast), και κάντε τώρα την παραγγελία σας από τη σχετική φόρμα. Προσοχή: Για την πλήρη πρόσβαση στο deltaCast απαιτείται ενεργή συνδρομή στο περιοδικό.

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων