Dziurawe oprogramowanie - najpopularniejszy sposób rozpowszechniania zagrożeń

02-05-2014, 22:10

Wydarzenia z kwietnia br. pokazują, że bezpieczeństwo szyfrowanych połączeń może być fikcją. Wszystko za sprawą błędu Heartbleed w oprogramowaniu OpenSSL, który został okrzyknięty przez ekspertów od bezpieczeństwa jedną z najpoważniejszych luk w historii Internetu. Minął miesiąc i wciąż można trafić na niezabezpieczone witryny. Nieodpowiedzialna opieszałość w łataniu dziur to dobra wiadomość… dla cyberprzestępców.

Iluzoryczne szyfrowanie

Logując się na swoje konto bankowe, do poczty elektronicznej czy w serwisie społecznościowym, podajesz poufne informacje, takie jak loginy i hasła, wysyłasz prywatne wiadomości. Na pewno zwracasz przy tym uwagę na podstawowe zabezpieczenia serwisu - sprawdzasz, czy adres strony do logowania rozpoczyna się od https:// i czy obok znajduje się zielona kłódka symbolizująca bezpieczne, szyfrowane połączenie. Obecność tych oznaczeń upewnia Cię, że jeśli ktoś niepowołany przechwyci Twoje dane podczas logowania, dzięki szyfrowaniu nie będzie potrafił ich odczytać.

Niestety wiara w doskonałość rozwiązań stworzonych przez człowieka to błąd. Od dwóch lat komunikacja każdego internauty korzystającego z serwisów i narzędzi stosujących oprogramowanie OpenSSL do szyfrowania połączeń mogła być podsłuchiwana. Chodzi tu zarówno o komunikację prowadzoną za pośrednictwem stron WWW oraz usług internetowych, w tym e-maili, komunikatorów, serwisów społecznościowych, usług chmurowych, oprogramowania TOR, wirtualnych sieci prywatnych, jak i routerów oraz innych urządzeń przeznaczonych do korzystania z Internetu.

Na czym polega luka Heartbleed

Problemem jest nieprawidłowość odkryta w bibliotece kryptograficznej OpenSSL, określona jako Heartbleed, o której poinformowano na początku kwietnia br. Pozwala ona atakującemu na pozyskanie klucza prywatnego, używanego do szyfrowania ruchu. Dzięki temu przestępca może nie tylko przechwycić komunikację, np. podczas logowania na konto bankowe czy przesyłania wiadomości przez komunikator, ale – co najważniejsze – dzięki dostępowi do prywatnego klucza będzie w stanie odszyfrować pozyskane w ten sposób dane.

Opisywany błąd umożliwia zatem przechwycenie i odszyfrowanie loginu i hasła, poufnych wiadomości, dokumentów, kluczy SSL, ciasteczek sesji, a nawet zdjęć wykonanych przez kamerę podłączoną do komputera. Osoba, która wejdzie w posiadanie takich danych, ma praktycznie nieograniczone możliwości ich wykorzystania na szkodę ofiary.

Metody ataków 

Oprócz podsłuchiwania wybranych stron i sieciowych usług przestępcy mogą także bezpośrednio atakować użytkowników Internetu. Wystarczy, że skłonią ich do odwiedzenia specjalnie spreparowanej złośliwej witryny, która umożliwia wykradanie danych z pamięci komputera, tabletu czy smartfona (firma Google potwierdziła podatność na atak Heartbleed systemu Android 4.1.1). 

Od lat popularnym sposobem ataku kierującego na złośliwe witryny jest rozsyłanie e-maili, w których cyberprzestępcy podszywają się pod znane serwisy, firmy bądź instytucje. Opierając komunikację na wywołaniu strachu, nieprzyjemnych konsekwencjach, a nawet szantażu, próbują zmusić odbiorcę do kliknięcia w zamieszczony link, który prowadzi do podstawionej strony. 

Dużą skuteczność w przekierowywaniu na fałszywe strony cyberprzestępcy zbierają także na Facebooku, wykorzystując mechanizm polecania wpisów polubionych przez znajomych. Jeśli trafisz na sensacyjną wiadomość polubioną przez znajomego, zastanów się dwa razy, czy kliknąć w udostępniony link, bo może to oznaczać problemy.

Szybkość aktualizacji oprogramowania ma znaczenie

Błędy w oprogramowaniu były, są i będą. Jest bardzo wiele czynników, które mają na to wpływ i nie da się wyeliminować tego ryzyka. Można natomiast zapobiec ich niewłaściwemu wykorzystaniu lub ograniczyć szkody z tym związane.

Implementacje OpenSSL zawierające błąd oznaczony jako Heartbleed pojawiły się w marcu 2012 r. i były stosowane przez ostatnie dwa lata w przypadku około 66% serwerów. 7 kwietnia br. udostępniona została poprawiona wersja OpenSSL. Część administratorów dokonała aktualizacji jeszcze w dniu udostępnienia poprawki, innym zajęło to trochę więcej czasu. 

W erze Internetu informacje o błędach mogą rozprzestrzenić się po całym świecie w ciągu kilku minut. W związku z tym każda godzina zwłoki w łataniu to znaczący wzrost skali zagrożenia oraz szkód, jakie mogą wyrządzić przestępcy wykorzystujący lukę. Z medialnych doniesień wynika, że niektóre serwisy zwlekały z aktualizacją nawet kilka dni!

Niestety, według ekspertów od bezpieczeństwa, część serwisów wciąż jeszcze może korzystać z biblioteki OpenSSL zawierającej błąd. To zła wiadomość, ponieważ przeprowadzenie ataku jest bardzo proste, a zatem im dłużej powszechnie znany błąd pozostaje niezałatany, tym lepiej dla cyberprzestępców, którzy wiedzą, jak go wykorzystać, tym bardziej że w sieci dostępne są stosowne narzędzia oraz instrukcje, jak podsłuchać wybrany serwer oraz jak stworzyć złośliwą stronę, zdolną do wykradania poufnych danych z pamięci komputera osoby, która ją odwiedzi.

Co zrobić w obliczu wiadomości o błędzie?

Właściciele serwisów korzystających z OpenSSL w wersjach od 1.0.1 do 1.0.1f powinni jak najszybciej dokonać aktualizacji oprogramowania do wersji wolnej od błędu, czyli 1.0.1g. Po aktualizacji biblioteki zalecana jest wymiana certyfikatu SSL na nowy, a następnie zmiana hasła administratora.

Kolejnym krokiem jest poinformowanie użytkowników usług o konieczności zmiany haseł na nowe. Paradoksalnie, właśnie w tym momencie do akcji mogą wkroczyć także cyberprzestępcy, podszywając się w e-mailach pod banki, dostawców usług oraz narzędzi internetowych i zamieszczając w wiadomościach odnośniki do złośliwych stron wykorzystujących opisywaną lukę. Treścią takiego fałszywego e-maila może być konieczność zmiany hasła w związku z zagrożeniem Heartbleed. 

Dlatego też powinieneś przyjąć zasadę, by nie klikać w linki umieszczone w tego typu wiadomościach, tylko samodzielnie wprowadzać adres strony w przeglądarce. Po wejściu na witrynę najpierw upewnij się, że jej administrator zaktualizował OpenSSL do najnowszej wersji (poniżej przeczytasz, jak to zrobić). Jeśli nie, to nie zmieniaj hasła, gdyż w takiej sytuacji może ono zostać w każdej chwili przechwycone przez potencjalnych przestępców.

Jak sprawdzić, która strona jest podatna na atak

W sieci dostępnych jest już kilka narzędzi umożliwiających sprawdzenie, czy odwiedzana strona jest podatna na atak Heartbleed. Użytkownicy przeglądarki Google Chrome mogą skorzystać z rozszerzenia Chromebleed, a użytkownicy Firefoxa - z dodatku Foxbleed.

Podatność wybranych serwerów można sprawdzić także za pomocą narzędzi dostępnych na poniższych stronach: 

http://possible.lv/tools/hb/

http://rehmann.co/projects/heartbeat/

http://filippo.io/Heartbleed/

Pamiętaj! Do zmiany hasła dostępowego na nowe przystąp dopiero wtedy, gdy masz pewność, że odwiedzana witryna jest bezpieczna.

Błędy w oprogramowaniu to codzienność, ale… 

Przypadek Heartbleed to dobra okazja, by przypomnieć o tym, że błędy w oprogramowaniu to również najpopularniejszy sposób na rozpowszechnianie zagrożeń. Wiele luk wykrytych w systemach operacyjnych, przeglądarkach i innych programach wykorzystujących połączenie z Internetem umożliwia wstrzyknięcie złośliwego kodu do systemu ofiary, zdalne uruchomienie wybranych programów czy przejęcie uprawnień administratora.

Często są do tego używane wiadomości w komunikatorach oraz e-maile zawierające złośliwe załączniki lub odnośniki do specjalnie spreparowanych stron, wykorzystujących nienaprawione błędy w oprogramowaniu. W masowym pozyskiwaniu ofiar coraz bardziej popularne stają się także serwisy społecznościowe, takie jak wspomniany wcześniej Facebook.

Dlatego, pomimo powszechności zjawiska luk w oprogramowaniu, nie należy tego w żadnym wypadku lekceważyć. Szybkość instalacji poprawek to podstawa w ochronie przed atakami. Dobrą praktyką jest włączenie automatycznych aktualizacji w wykorzystywanym oprogramowaniu oraz śledzenie informacji dotyczących bezpieczeństwa w sieci WWW, np. poprzez prenumerowanie biuletynów i serwisów informacyjnych.


Tematy pokrewne:  

tag oprogramowanietag Heartbleedtag dziury
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2020»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031