HeartBleedは、まだではないにしても、一般的に最大の情報脆弱性になる可能性があります。
何らかの理由で、 元のトピックのディスカッションアクティビティはそれほど高くないため、非常に高い驚きがあります。
どうした
2012年1月1日、 Robin Seggelmannは、HeartBeatがOpenSSLに追加したコミットを送信し、チェックしました。 HeartBleedと呼ばれる脆弱性を導入したのは、このコミットでした。
それはどれほど危険ですか?
この脆弱性により、RAMを最大64KBのサイズで読み取ることができます。 さらに、この脆弱性は双方向です。つまり、脆弱なサーバーからデータを読み取ることができるだけでなく、OpenSSLの脆弱なバージョンを使用している場合、攻撃者のサーバーもRAMの一部を受け取ることができます。攻撃者は、たとえば脆弱なインターネットバンクに接続し、RAMからプライベートSSLキーを取得してMITM攻撃を実行できます。ブラウザは証明書が正しいため、何も起こらなかったように動作します。 または、単にユーザー名とパスワードを取得できます。
悲劇の規模は?
私の推定によると、約⅔のWebサイトがHTTPS接続にOpenSSLを使用しており、そのうち約⅔がこの日に対して脆弱です。
脆弱性は、少なくとも以下のとおりです。
- 10銀行
- 2つの支払いシステム
- 8 VPNプロバイダー
- mail.yandex.ru
- mail.yahoo.com
mail.yandex.ruを使用してこの脆弱性を使用すると、HTTPヘッダーとともにユーザーレターを受信し(Cookieを置き換えて、そのユーザーとしてログインする)、Alfa-Clickからのログインとパスワードで暗号化されていないPOSTデータを受信できます(インターネットバンキング)。
私は何をしましたか?
私はただそこに座って、ユーザーの個人データが攻撃者の手に流れる様子を見ることができませんでした。
まず、OpenVPNプロトコル経由でアクセスを提供するVPNプロバイダーに手紙を書きました。 彼は脆弱になる可能性があります。 次に、脆弱性が最大の脅威となるシステム、つまり銀行、決済システム、メール/ジャバーサーバーの脆弱性を探し始めました。 私は脆弱なサービスに電話して書いた。 原則として、銀行のセキュリティサービスにアクセスすることは非常に困難であり、メールのみで回答します。
| サービス | メール時間 | 通話時間 | 脆弱性閉鎖時間 | 証明書を再発行しました | 漏洩データ |
|---|---|---|---|---|---|
| mail.yandex.ru | 12:46、13:27(簡単な答えを得るためのバグ報奨金で) | 12:47 | 14:07 | いや | メールクッキー |
| アルファ銀行 | 12:51 | 12:59 | 午後2時 | いや | ユーザーのログインとパスワード、トランザクション、ユーザーの個人データ、Cookie。 脆弱性の拒否!! |
| リクパイ | 13:15 | - | 15:15 | いや | いいえ(ガベージ、perlスクリプトの断片) |
| インターカッサ | 13:15 | 13:20 | 18:28 | はい | トランザクションCookie |
| ライファイゼン | 13:35 | 13:30 | 〜19:00 | いや | N / a |
| Otkritie Bank | 15:36 | - | 夜遅くに | いや | N / a |
| モスクワ銀行 | - | 〜15:30 | 〜17:00、サイトのみが脆弱でした | - | - |
| Yahoo.com | - | - | 22:20 | はい | ユーザーのログインとパスワード、メール、Cookie |
| IMoneyBank | - | 14:31、20:20 | 04/09 10:55 | はい | ユーザーのログインとパスワード、トランザクション、Cookie、ユーザーの個人データ |
| ロシア標準 | 13:00 | 19:36、09.04 10:38 | 04/09 13:00 | いや | トランザクション、Cookie、ユーザーの個人データ |
| OTP銀行 | 04/09 2:20午後 | 04/09 2:19午後 | 04/09 15:03 | いや | トランザクション、Cookie、ユーザーの個人データ |
| ラスラフバンク | 〜16:00 | - | 09.04〜12:00、サイトのみが脆弱でした | - | - |
| 銀行ゼニット | - | 21:50、09.04 11:15、04.04 15:25 | 04/09 18:20 | いや | ユーザーのログインとパスワード、Cookie |
| Akバーズバンク | - | - | 11.04 15:30 | いや | ユーザーのログインとパスワード、トランザクション |
ユーザーとして何をすべきですか?
Linuxを使用している場合は、OpenSSLの利用可能な最新バージョンにアップグレードする必要があります。 ほとんどのディストリビューションには、すでにリポジトリにパッチが適用されたバージョンが含まれています。
OSXを使用している場合は、OpenSSL 0.9.8を使用する可能性が最も高く、新しいバージョンを手動でインストールしなかった場合は脆弱ではありません。
Windowsを使用している場合、OpenSSLを使用していない可能性があります。 手動で(たとえば、cygwinを使用して)インストールした場合は、バージョンに脆弱性が含まれていないことを確認してください。
OpenSSLを更新したら、それを使用するすべてのアプリケーションを再起動してください!
覚えておいてください- 他の人がすでにあなたのパスワードを持っているというかなり大きなチャンスがあります 。 それらを変更しますが、今は変更しません。 脆弱なサイトには今すぐアクセスしないでください。 以下のリンクを使用してサイトの脆弱性を確認してください。
サイト所有者/システム管理者として何をすべきですか?
まず、OpenSSLのバージョンが脆弱かどうかをすぐに確認する必要があります。 HTTPSには、 filippo.io / Heartbleed 、 possible.lv / tools / hbおよびwww.ssllabs.com/ssltestの 3つのサービスがあります。 必要に応じてバージョンを更新します。 パッチを適用したバージョン、または1.0.1.gを必ずインストールしてください。
OpenSSLの脆弱なバージョンがある場合、古いSSL証明書を取り消す必要があります-侵害される可能性があります。 サービスに脆弱性があった場合は、パスワードを変更するようユーザーに通知し、使用する場合はセッションをリセットしてください(PHPSESSID、JSESSID)
そして、詳細が欲しい!
脆弱性分析についてはこちらを 、詳細はこちらとこちらをご覧ください 。
トップ10,000から629のサイトが脆弱です 。
cnet.comのニュース 。
banki.ruに関する記事
ボーナス: 視覚障害者と聴覚障害者の会話 、 ミハイル