1LibreOffice Productivity Suite

Dr. Lentini SalvatoreComputer Scientist & Junior Penetration Tester

HeartbleedDemo e fix didattici sull’attacco SSL/TLS Heartbleed

2LibreOffice Productivity Suite

Considerazioni Personali

Pazzesco

OpenSSL: progetto OpenSource che implementa il protocollo SSL/TLSSSL/TLS: protocollo di sicurezza che garantisce la privacy della comunicazioneInsicurezza più totale!

Affascinante

Dati utente, user/password, chat private, email, cookie, …Private Key del Server

3LibreOffice Productivity Suite

Un lucchetto falso...

Introdotto per sbaglio nel 2012 da Robin Seggelmann

Scoperto nel 2014 da un ingegnere di Google e dal gruppoCODENOMICON. Scoperto grazie al fatto che il progetto è OPENSOURCE

Dal 2012 al 2014 Heartbleed venne tenuto segreto esfruttato dall’NSA per spiare le comunicazioni legittimandola sicurezza nazionale.

4LibreOffice Productivity Suite

In che cosa consiste il bug?

Mancato controllo sulla lunghezza (payload_length) del pacchetto Heartbeat Message Request con la lunghezza (length) dell’SSL3_Record. SSL3_Record contiene la reale lunghezza che deve considerare il server web prima di rispondere al client con un Heartbeat Message Response Vulnerabilità: Buffer Over-read

Il server invia all’attaccante il contenutodell’area di memoria del processo di OpenSSL

5LibreOffice Productivity Suite

Diagramma ComprensivoL’attaccante invia un payload di dati di 5 byteL’attaccante invia un payload di dati di 5 byte

falsificando la lunghezza del pacchettofalsificando la lunghezza del pacchettoa 65535 bytesa 65535 bytes

Il server risponde inviando 65535 bytes di dati (invece che soli 5 bytes)In questo modo, l’attaccante riceve dei dati che stanno in un area di memoria

contigua alla sua precedente richiesta. Questi dati sono dati sensibili.

6LibreOffice Productivity Suite

Recupero User/Password

Virtualizzazione in locale di un server webvulnerabilie ad Heartbleed

● Creazione Pagina di Login di prova (da notare che è in https!)

● Sfruttamento della vulnerabilità recuperando (nel computer dell’attaccante) le credenziali “admin” “admin”inserite nella pagina di prova.

7LibreOffice Productivity Suite

Recupero Private Key del Server

8LibreOffice Productivity Suite

In conclusione

● Aggiornare alla più recente versione di OpenSSL. (>=1.0.1g)

● Revoca dei certificati e delle chiavi.La 1 e la 2 devono essere applicate contemporaneamente.

Gli attaccanti non lasciano traccia nei log di sistema. Questo vuol dire che si può solo dare una stima dei danni.

9LibreOffice Productivity Suite

All text and image content in this document is licensed under the Creative Commons Attribution-Share Alike 3.0 License (unless otherwise specified). "LibreOffice" and "The Document Foundation" are registered trademarks. Their respective logos and icons are subject to international copyright laws. The use of these therefore is subject to the trademark policy.

Grazie, spero di non avervi dissanguato.