segunda-feira, 28 de abril de 2014

HeartBleed - Uma das maiores vulnerabilidades já descobertas da Internet.

E ai galera, bão?

Li um artigo muito bom e completo no The Hacker News, que se tornou uma literatura diária para mim, daí a inspiração para escrever sobre essa vulnerabilidade e retomar as atividades do blog, veja a página no link ao lado.[Link1]

HeartBleed é uma vulnerabilidade do OpenSSL usando as extensões de heartbeat dos protocolos TLS/DTLS.

O Ataque consiste em abrir uma conexão SSL em um servidor, e solicitar através dos pacotes de Heartbeat (pequenos pacotes que matem uma conexão TCP ativa) mais bits do que a sua conexão está transferindo (Limitado a 64 bits por transmissão). Quando você faz uma solicitação deste tipo o servidor responde ao seu heartbeat com o a sua informação e com os próximos bits que estão na memória RAM do servidor (que são dados de outras conexões abertas do mesmo servidor).
Estes dados podem ser logins e senhas, número de cartão de crédito, dados bancários, imagens e qualquer outra informação que esteja na memória do servidor naquele momento.

O OpenSSL é largamente utilizado na internet para fazer a criptografia de conexões TCP tanto em clientes (Notebooks e smartphones) quanto em servidores. Para corrigir esta vulnerabilidade é necessário atualizar a versão do OpenSSL contido nos dispositivos, em smartphones esta atualização pode ser mais lenta pois depende da implementação da correção por parte dos fabricantes de celulares e tablets.

Os firewalls UTM são uma boa ferramenta para mitigar este tipo de ameaça, pela funcionalidade de análise de pacotes na camada de aplicação caracteristica deste tipo de equipamento.

A Sonicwall criou um artigo mostrando como foram identificados pacotes que exploram esta vulnerabilidade, quais assinaturas ela criou para que seus appliances passem a bloquear este tipo de ameaça. [Link2]


Links:
Link 1 - http://thehackernews.com/2014/04/heartbleed-bug-explained-10-most.html
Link 2 - https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=668
Follow up de 18/04/2014 sobre o número de ataques diário deste tipo de vulnerabilidade (Reportados pela Sonicwall).
https://www.mysonicwall.com/sonicalert/searchresults.aspx?ev=article&id=671

Grande abraço!