terça-feira, 22 de abril de 2014

Heartbleed também atingiu redes complexas de autenticação, apontam especialistas

heartbleed
Desde que foi anunciada a falha de segurança no OpenSSL denominada "Heartbleed", vários testes e verificações vêm sendo feitos para descobrir até que ponto os dados foram ou podem ser comprometidos a partir da vulnerabilidade.

O resultado de uma dessas análises, infelizmente, não é muito animador, principalmente para quem se sentia protegido em redes mais complexas: é possível roubar chaves privadas de um ambientes de criptografia mais avançada e até mesmo simular um servidor.

De acordo com o site Ars Technica, uma equipe de pesquisadores da empresa especializada em cibersegurança, a Mandiant, tentou explorar a vulnerabilidade em uma ferramenta utilizada por usuários que acessam a rede fora da empresa, a "VPN concentrator".

Para identificar a invasão, o pessoal da Mandiant notou que o hacker enviou versões incompletas do 'hearbeat' – que são os "pulsos" de informação da comunicação digital – para um servidor com VPN. A partir do Heartbleed, o invasor conseguiu obter os tokens dos usuários ativos.

Com esses tokens, o hacker roubou as múltiplas sessões de um usuário, enganou o "VPN concetrator" da rede e se passou por um funcionário da organização.

A partir do obtido, os pesquisadores cruzaram dados de assinaturas de invasão e o histórico de acessos à VPN, obtiveram 17 mil alertas e chegaram a conclusão de que os 'heartbeats' afetavam diretamente os procolos criptográficos do dispositivo de segurança interno da empresa.

HEARTBLEEDMensagem de alerta de invasões a partir do Heartbleed com 'heartbeats' estranhos.

Os "hackers" conseguiram não apenas as senhas mas também as chaves privadas e os dados de acessos. Ou seja, eles conseguiram roubar sessões inteiras, o que permite até mesmo simular o comportamento do usuário e enganar sistemas considerados mais seguros, inclusive os que exigem tokens.

Com a divulgação dessa falha, os pesquisadores também publicaram algumas recomendações de segurança:

  1. 1-Identifique a infraestrutura afetada pela vulnerabilidade e a atualize o quanto antes;

  2. 2-Implemente a detecção de assinaturas de invasão para identificar as diferentes tentativas de exploração da vulnerabilidade. Na experiência, o invasor enviou centenas de tentativas porque a vulnerabilidade expõe apenas 64KB de dados por vez de um setor randômico da memória;

  1. 3-Faça a revisão do histórico de acessos à sua rede privada para identificar os momentos em que os endereços de IP de uma sessão mudaram repetidas vezes entre dois endereços de IP. É comum para um endereço de IP mudar durante uma sessão, mas é muito incomum o IP mudar constantemente entre endereços que estão em diferentes blocos da rede, em distintos provedores e lugares ou apenas tão rápido em um curto período de tempo.


via: http://canaltech.com.br
Anterior
Proxima

Postador

Postagens Relacionadas

0 comentários:

Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.