119 votes

Utilisateur non enregistré avatar

Comment utiliser l'internet pendant que Heartbleed est en cours de correction ?

Demandé el 9 de Avril, 2014
Quand la question a-t-elle été
16842 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il y a beaucoup de sites web qui ne sont pas actuellement vulnérables, mais je n'ai aucune idée s'ils étaient vulnérable il y a quelques jours.

Par exemple :

  • twitter.com : Non vulnérable pour le moment, mais le certificat date du Wed Mar 05 00:00:00 UTC 2014.
  • google.com : Pas vulnérable pour le moment, mais le certificat date du Wed Mar 12 09:53:40 UTC 2014.
  • bankofamerica.com : Non vulnérable pour le moment, mais le certificat date du Thu Dec 05 00:00:00 UTC 2013.

Que dois-je faire ? Ne pas les utiliser jusqu'à ce qu'ils soient réédités ? Comment puis-je savoir qu'ils réémettent le certificat avec de nouvelles clés ? Il semble que je ne devrais même pas me connecter à ces sites pour changer mon mot de passe car il n'y a aucun moyen de savoir s'il s'agit du vrai site Web.

Demandé el 9 de Avril, 2014 par Utilisateur non enregistré

Réponses

Trop de publicités?

201voto

Jacob avatar
Jacob Points 1634

Mises à jour 2014-04-11

Cloudflare a mis en place un défi pour vérifier que l'extraction de clés privées était effectivement possible. Cela a été fait avec environ 100 000 requêtes, et cela vérifie les craintes. Ce n'est plus théorique, mais prouvé . Vous pouvez aller aquí pour le lire.

Aussi, Bloomberg a signalé que le NSA connaissent cet exploit depuis au moins deux ans . C'est logique puisque la NSA a les moyens d'engager des analystes dont le seul travail est de trouver des exploits dans des logiciels comme celui-ci. Maintenant que nous savons que le gouvernement américain l'exploite depuis si longtemps, la probabilité que d'autres États le sachent et l'exploitent est importante.

TL;DR Surveillez les annonces des organisations concernant l'état de leurs systèmes, les changements TOUTES de vos mots de passe, et surveillez les activités frauduleuses/suspectes sur les comptes importants tels que les systèmes bancaires ou autres systèmes financiers.

Pour comprendre pourquoi la situation est si dangereuse, il faut d'abord comprendre ce que fait réellement cette attaque. CVE-2014-0160, alias Heartbleed, est un bogue de dépassement de tampon qui permet à un attaquant d'obtenir jusqu'à 64 kB de mémoire d'un serveur exécutant une version vulnérable d'OpenSSL.

Ça a l'air vraiment mauvais. Comment cela fonctionne-t-il en pratique

Vous avez raison, c'est un défaut grave, mais nous y reviendrons un peu plus tard. Pour l'instant, parlons de la raison pour laquelle l'exploit fonctionne. Sécurité de la couche transport (TLS) est utilisé pour sécuriser les informations par de nombreuses applications, notamment HTTP ( HTTPS ) ou pour sécuriser SMTP si elle est activée, par exemple. Dans la RFC 5246, qui établit les normes pour TLS, il y a une fonction connue sous le nom de heartbeat. Le client et le serveur envoient des données dans les deux sens afin de maintenir la connexion en vie et de pouvoir l'utiliser ultérieurement. Dans la pratique, le client envoie des données et le serveur les renvoie, et tout va bien. Cependant, dans les versions d'OpenSSL concernées, il n'y a pas de vérification pour voir si le client a réellement envoyé la quantité de données qu'il a dit avoir envoyée. Ainsi, si j'envoie 1 octet et que je dis au serveur que j'ai réellement envoyé 64 kB, il va se contenter de me renvoyer 64 kB. Mais d'où viennent les autres octets ? C'est là que se trouve la clé du problème. OpenSSL va vous renvoyer 64 kB - 1 octet de mémoire auquel le processus a accès et que vous n'avez pas envoyé à l'origine, selon l'endroit où votre 1 octet est stocké. Ces octets supplémentaires de la mémoire sont le problème car ils peuvent contenir des informations précieuses telles que matériel de clé privée¹ et les informations que le serveur est en train de décrypter pour les utiliser. Il peut s'agir, par exemple, de mots de passe, d'informations relatives à une carte de crédit et/ou d'un numéro de téléphone. NIPs .

OK. Qu'est-ce que cela signifie pour la sécurité de l'information ? Si vous comprenez comment fonctionne la cryptographie asymétrique, vous savez déjà que c'est grave, car la divulgation fait que le cryptage n'est rien de plus qu'un obscurcissement. Cela signifie que même si les serveurs ont été corrigés et qu'ils ne fuient plus la mémoire, les sessions ne sont toujours pas sécurisées. Il est possible que ce problème ait été exploité avant qu'il ne soit connu du public ou pendant que Parcheando avait lieu, mais il n'y a actuellement aucune méthode prouvée pour montrer qu'une attaque a eu lieu. Il est possible que les règles de IDSs peut devenir disponible, mais pour l'instant ce n'est pas le cas. Les règles IDS ont été publiées . En soi, cela est extrêmement dangereux, car les opérateurs ne savent pas si leurs clés sont encore sûres.

Nous sommes obligés de supposer que les clés ont été divulguées, ce qui signifie qu'il est possible que tout ce que vous envoyez par voie électronique puisse être décrypté par un tiers. La seule façon d'atténuer ce problème est de régénérer les clés et de faire réémettre de nouveaux certificats tout en révoquant les anciens. Malheureusement, cela prend du temps car le CAs sont sans doute inondés de ces demandes en ce moment même. Cela laisse quand même la possibilité d'un attaque man-in-the-middle ou d'autres possibilités d'hameçonnage.

Quand sera-t-il sûr ? Il est difficile de savoir quand cela sera sûr. Je vous suggère de surveiller les annonces publiques expliquant que le bogue a été corrigé dans leur environnement ou qu'ils n'ont jamais été vulnérables, car ils n'ont jamais utilisé les versions concernées. Lorsqu'ils annoncent qu'ils ont adopté une nouvelle version d'OpenSSL, je m'assure qu'ils utilisent un nouveau certificat signé. après la date de diffusion publique de l'exploit, soit le 2014-04-07.

**Notez que le trafic précédemment enregistré peut être décrypté si la clé privée a été divulguée ultérieurement.

Que puis-je faire en tant qu'utilisateur pour me protéger ?

Pour les prochains jours, si vous pouvez éviter d'utiliser des sites critiques tels que les services bancaires en ligne ou l'accès aux dossiers médicaux en ligne, je vous suggère de le faire. Si vous devez le faire, sachez que votre session est potentiellement à risque et soyez prêt à en accepter les conséquences. En outre, lorsque les organisations annoncent qu'elles ne sont plus vulnérables, vous devriez changer votre mot de passe ; l'utilisation d'un gestionnaire de mots de passe peut être utile. Vous devez également vous préparer à modifier ou à contrôler toute autre information que vous avez utilisée, comme les coordonnées bancaires ou les numéros de carte de crédit.

Avis spécial aux militants

Tout ce qui est qui utilisent OpenSSL peuvent être affectés, notamment Tor . Il est possible que les gouvernements aient été en mesure d'utiliser cette faille depuis son inclusion dans les versions d'OpenSSL il y a plus de deux ans, car ils disposent des vastes ressources nécessaires à la recherche d'exploits tels que celui-ci, et vous devez donc vous préparer à ce que les informations ne soient plus privées.

**Notez que le trafic précédemment enregistré peut être décrypté si la clé privée a été divulguée ultérieurement, à moins qu'il n'y ait une fuite. une parfaite sécurité avant (PFS) a été mis en œuvre.

¹- Certains ont affirmé qu'il était probable que les clés privées ne soient pas en mémoire, mais en même temps, certains ont affirmé avoir réussi à extraire des clés. A ce stade, il n'est pas certain de savoir quel côté est correct.

Répondu el 9 de Avril, 2014 par Jacob (1634 Points )

13voto

el viejo avatar
el viejo Points 351

Le risque posé par cette vulnérabilité est exagéré. Je dis cela parce qu'il y a ZERO preuve que cette vulnérabilité était connue ou exploitée avant sa publication par les chercheurs il y a 2 jours.

Soyons clairs, il est urgent que les sites web vulnérables, en particulier ceux qui échangent des données sensibles sur Internet, soient corrigés. Il est tout aussi urgent que les signatures de l'attaque soient chargées dans les IDS et les outils de protection contre les logiciels malveillants. Au sein du service informatique, nous devons répondre à cette vulnérabilité avec la plus grande priorité.

Cela dit, je ne pense pas que le niveau de risque associé à cette vulnérabilité par la presse publique soit justifié.

Que doivent faire les particuliers pour se protéger ? N'utilisez pas les sites qui utilisent des versions vulnérables d'OpenSSL.

Tant qu'il n'y a pas de preuve que cette vulnérabilité a été exploitée, toute action supplémentaire est inutile et motivée par rien d'autre que la peur du risque. Vous n'êtes pas d'accord ? Considérez les nombreuses vulnérabilités publiées chaque mois ou chaque trimestre qui permettre l'exécution d'un code arbitraire . Ceux qui donnent à l'attaquant des privilèges au niveau de la racine ou du système ou pour lesquels l'attaquant peut ensuite les obtenir par une escalade de privilèges présentent autant, voire plus, de risques pour la sécurité de toutes les données traitées par les systèmes vulnérables que cette vulnérabilité.

Dans de nombreux cas, ces vulnérabilités sont découvertes par le vendeur du logiciel ou par des chercheurs qui en informent le vendeur. Ce dernier produit un correctif et le diffuse sur le marché sans publier les détails de la vulnérabilité. Dans certains cas, les détails sont publiés et les exploits sont publiés par la communauté de la sécurité pour être utilisés dans des outils de test. On ne réagit pas à ces nombreuses vulnérabilités en disant "Tous nos secrets PEUVENT avoir été exposés !".

S'il existe des preuves d'exploitation, nous devons y réagir de manière appropriée. Je vois un grand risque dans la réaction excessive des chercheurs qui ont annoncé cette vulnérabilité et dans la presse qui a amplifié les propos des chercheurs. Ils crient au loup.

-- El viejo

Répondu el 10 de Avril, 2014 par el viejo (351 Points )

5voto

Teun Vink avatar
Teun Vink Points 2295

Tous les sites Web n'utilisent pas les bibliothèques OpenSSL pour HTTPS (il y a aussi GnuTLS et PolarSSL par exemple), et toutes les versions d'OpenSSL n'étaient pas vulnérables (les anciennes ne l'étaient pas). Cela signifie qu'il y a de fortes chances que les sites Web que vous avez mentionnés n'aient pas changé de certificat parce qu'ils n'en avaient pas besoin. Le simple fait de regarder les dates d'émission des certificats ne vous en dit pas assez.

Il existe un certain nombre d'outils et de sites qui peuvent vous aider à vérifier si un site web est vulnérable, par exemple : - http://filippo.io/Heartbleed - https://gist.github.com/mitsuhiko/10130454 - https://www.ssllabs.com/ssltest/

Malheureusement, comme vous l'avez déjà dit, cela ne vous dit pas s'ils l'étaient. J'ai bien peur que le problème clé ici soit la confiance : il n'y a aucun moyen objectif de vérifier quelles bibliothèques SSL ils utilisent et ont utilisé sans informations internes. Vous devez espérer qu'ils ont fait ce qu'ils devaient faire (parce que c'est la bonne chose à faire, ou même parce qu'ils craignent l'humiliation publique) et s'ils l'ont fait, vous ne pouvez qu'espérer qu'ils sont ouverts à ce sujet.

Bien sûr, vous pouvez toujours demander à ces sites Web s'ils ont été affectés. J'ai vu un certain nombre de sites Web publier des déclarations publiques à ce sujet. Poser la question publiquement en utilisant les médias sociaux comme Twitter ou Facebook fonctionne souvent.

Le meilleur conseil que je puisse donner est donc un conseil général : faites attention à ce que vous laissez sur l'internet et aux sites web auxquels vous confiez vos informations personnelles.

Répondu el 9 de Avril, 2014 par Teun Vink (2295 Points )

1voto

intA avatar
intA Points 201

En ce qui concerne l'exposition des clés privées, il convient d'ajouter que, même si quelqu'un peut être en mesure de déchiffrer des données dans une session chiffrée, parce qu'il dispose maintenant de la clé privée, il devra toujours s'établir comme étant l'utilisateur de la clé privée. l'homme au milieu de la session. Ce n'est pas n'importe qui sur Internet qui peut le faire.

D'après ce que j'ai compris, ils devront toujours intercepter le trafic, soit en étant sur votre réseau local et en utilisant les services de l'entreprise. ARP le spoofing ou la possibilité de détourner/rediriger le trafic en annonçant de fausses routes aux routeurs Internet. Ce type d'attaque a toujours été possible, même sans cette vulnérabilité.

Répondu el 10 de Avril, 2014 par intA (201 Points )

0voto

Alan Estes avatar
Alan Estes Points 11

Vous pouvez entrer l'URL d'un site à Vérificateur LastPass Heartbleed et il vous dira si le site était ou est toujours vulnérable, et quand son certificat a été mis à jour.

Il existe également une extension Chrome appelée Chromebleed qui vous avertira si vous visitez un site affecté par Heartbleed.

Mashable.com propose une liste de sites connus, indiquant s'ils ont été touchés et si vous devez changer votre mot de passe. Il est intéressant de noter qu'aucun des sites de la liste des banques et des courtiers n'a été touché.

Répondu el 11 de Avril, 2014 par Alan Estes (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X