Desde que foi anunciada a falha de segurança no OpenSSL denominada "Heartbleed", vários testes e verificações vêm sendo feitos para descobrir até que ponto os dados foram ou podem ser comprometidos a partir da vulnerabilidade.
O resultado de uma dessas análises, infelizmente, não é muito animador, principalmente para quem se sentia protegido em redes mais complexas: é possível roubar chaves privadas de um ambientes de criptografia mais avançada e até mesmo simular um servidor.
De acordo com o site Ars Technica, uma equipe de pesquisadores da empresa especializada em cibersegurança, a Mandiant, tentou explorar a vulnerabilidade em uma ferramenta utilizada por usuários que acessam a rede fora da empresa, a "VPN concentrator".
De acordo com o site Ars Technica, uma equipe de pesquisadores da empresa especializada em cibersegurança, a Mandiant, tentou explorar a vulnerabilidade em uma ferramenta utilizada por usuários que acessam a rede fora da empresa, a "VPN concentrator".
Para identificar a invasão, o pessoal da Mandiant notou que o hacker enviou versões incompletas do 'hearbeat' – que são os "pulsos" de informação da comunicação digital – para um servidor com VPN. A partir do Heartbleed, o invasor conseguiu obter os tokens dos usuários ativos.
Com esses tokens, o hacker roubou as múltiplas sessões de um usuário, enganou o "VPN concetrator" da rede e se passou por um funcionário da organização.
A partir do obtido, os pesquisadores cruzaram dados de assinaturas de invasão e o histórico de acessos à VPN, obtiveram 17 mil alertas e chegaram a conclusão de que os 'heartbeats' afetavam diretamente os procolos criptográficos do dispositivo de segurança interno da empresa.
Com esses tokens, o hacker roubou as múltiplas sessões de um usuário, enganou o "VPN concetrator" da rede e se passou por um funcionário da organização.
A partir do obtido, os pesquisadores cruzaram dados de assinaturas de invasão e o histórico de acessos à VPN, obtiveram 17 mil alertas e chegaram a conclusão de que os 'heartbeats' afetavam diretamente os procolos criptográficos do dispositivo de segurança interno da empresa.
Os "hackers" conseguiram não apenas as senhas mas também as chaves privadas e os dados de acessos. Ou seja, eles conseguiram roubar sessões inteiras, o que permite até mesmo simular o comportamento do usuário e enganar sistemas considerados mais seguros, inclusive os que exigem tokens.
Com a divulgação dessa falha, os pesquisadores também publicaram algumas recomendações de segurança:
Com a divulgação dessa falha, os pesquisadores também publicaram algumas recomendações de segurança:
- 1-Identifique a infraestrutura afetada pela vulnerabilidade e a atualize o quanto antes;
- 2-Implemente a detecção de assinaturas de invasão para identificar as diferentes tentativas de exploração da vulnerabilidade. Na experiência, o invasor enviou centenas de tentativas porque a vulnerabilidade expõe apenas 64KB de dados por vez de um setor randômico da memória;
- 3-Faça a revisão do histórico de acessos à sua rede privada para identificar os momentos em que os endereços de IP de uma sessão mudaram repetidas vezes entre dois endereços de IP. É comum para um endereço de IP mudar durante uma sessão, mas é muito incomum o IP mudar constantemente entre endereços que estão em diferentes blocos da rede, em distintos provedores e lugares ou apenas tão rápido em um curto período de tempo.
via: http://canaltech.com.br
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.