Najnowsze

Opublikowano Kwiecień 10, 2014 Przez ls W Internet

Hasła zagrożone. Logowaliście się gdzieś wczoraj lub dzisiaj? Lepiej zmieńcie hasła

hasła - Wiadomości Wolna Polska - bezpieczeństwo IT

Większość z Was pewnie czytała już o najnowszym błędzie w OpenSSL. Zagrożenie nie jest teoretyczne – mamy dowody na to, że hasła użytkowników największych polskich i światowych serwisów wyciekały lub nadal wyciekają.

Błąd, nazwany Heartbleed, polega na wysyłaniu przez serwer własnej pamięci w porcjach po 64 kilobajty w odpowiedzi na każde odpowiednio skonstruowane zapytanie. Pamięć pochodzi z właśnie uwolnionego obszaru procesu OpenSSL, zatem może zawierać bardzo wrażliwe dane – i często zawiera.

Przykłady z naszego podwórka

Nie będziemy tutaj wskazywać konkretnych nazw firm – problem dotyczył wielu z nich a dzięki naszym Czytelnikom poznaliśmy kilkanaście przykładów. Wybraliśmy kilka z nich, a krytyczne dane zostały zanonimizowane.

1. Duży ogólnopolski portal

Co prawda serwery pocztowe zostały bardzo szybko załatane, ale główna domena oraz serwis usługi dysku w chmurze przez wiele godzin wysyłały kawałki pamięci, zawierające takie perełki:

.x-gzip, identity; q=0.9..Accept-Language: en-us..Authorization: Basic 
emFub25pbWl6b3dhbmVAeHh4LnBsOmF0dXRhamhhc2xvMQ==

Ciąg zakodowany w base64 to oczywiście login i hasło do skrzynki pocztowej. Serwis jest w dobrym towarzystwie, bo nawet Yahoo potrzebowało ponad doby na załatanie serwerów.

2. Duża firma hostingowa – serwer pocztowy

&_user=kontakt%domena.pl&_pass=haslouzytkownika<(hz0=poczta.*.pl; language=pl; roundcube_sessid=[id]

3. Serwis www dużej firmy kurierskiej

menu_name=parcelsMenu&loginKey=xxxxxxx&customerId=xxxxxx&userName=xxxxxx&password=xxxxxx

4. Jedna z największych firm bukmacherskich

Login=xxx%40xxxxx.pl&txtPasswd=xxxxx23&action=login&ajaxcall=ajaxcall

5. Panel obsługi klienta dużej firmy telekomunikacyjnej

action=logowanie&login=1234567&passw=xxxxxxx&submit=Zaloguj

6. Duża polska giełda BTC

if ($debug) printit("STDERR:$input");...fwrite($sock, $input);..}.}..fclose($sock);.fclose($pipes[0]);.
fclose($pipes[1]);.fclose($pipes[2]);.proc_close($process);.

To akurat fragment kodu źródłowego, ale w odpowiedziach serwera przewijały się również dane użytkowników.

Fragment przykładowej odpowiedzi serwera

Fragment przykładowej odpowiedzi serwera

7. Jeden z największych sklepów

&j_username=xxx%40xxxx.pl&j_password=xxxxx&agreement=on

Reakcja firm, które padły ofiara ataku

Takich przykładów otrzymaliśmy dziesiątki. Zabrakło w nich chyba tylko polskich banków. W jednym rzędzie stanęły telekomy, firmy hostingowe, ubezpieczeniowe, biura maklerskie – jak się domyślacie, żadna branża nie zareagowała wystarczająco szybko, by uchronić swoich klientów przed ujawnieniem ich danych. Podatne były także serwery popularnych polskich serwisów „hakerskich”. Jak również nietrudno zgadnąć, żadna, ale to żadna z zaatakowanych firm lub organizacji nie poinformowała swoich klientów o konieczności zmiany haseł (jeśli na taką trafiliście, dajcie znać – pochwalimy).

Co prawda atak nie zostawiał śladów w logach, lecz skoro kod, umożliwiający nieautoryzowane pobranie danych z serwerów, był dostępny już po kilku godzinach od ogłoszenia błędu, to trudno zakładać, że nikt z niego nie skorzystał. Wygodniej jednak oczywiście uznać, że nic się nie stało. Polski rynek ma pod tym względem jeszcze bardzo dużo do nadrobienia.

Co z tym zrobić?

Co prawda jeśli dana firma ma milion klientów, to prawdopodobieństwo, że ktoś złośliwy trafił właśnie na Twoje hasło, jest niewielkie. Niemniej powyższe przykłady pokazują, że było to całkiem realne zagrożenie, zatem my już zmieniliśmy niektóre nasze hasła i rekomendujemy to samo naszym Czytelnikom. Co gorsza, nie wiemy, od jak dawna błąd był znany (a mógł występować od ok. dwóch lat) – zatem nawet, jeśli nie logowaliście się nigdzie w ciągu ostatnich 3 dni, to zmiana haseł nie zaszkodzi. Nawet zmiana hasła jednak może nie wystarczyć, jeśli ktoś wykradł ciasteczko Waszej sesji… Wtedy warto jeszcze się wylogować na wszelki wypadek.

Jeśli zaś szukacie podatnych serwerów, to zrobił to już za Was Robert Graham, który po przeskanowaniu całego internetu ustalił, że 600 000 adresów IP z 28 000 000 odpowiadających na porcie 443 jest ciągle podatnych. Uważajcie jednak, by nie trafić na Heartbleed-honeypota.

Honeypot Heartbleed

Honeypot Heartbleed

Tylko na Zaufanej Trzeciej Stronie zawsze najważniejsze informacje dotyczące bezpieczeństwa IT

Tags : , , ,

Komentowanie zamknięte.