Date post: | 15-Apr-2017 |
Category: |
Science |
Upload: | salvatore-lentini |
View: | 259 times |
Download: | 0 times |
1LibreOffice Productivity Suite
Dr. Lentini SalvatoreComputer Scientist & Junior Penetration Tester
HeartbleedDemo e fix didattici sull’attacco SSL/TLS Heartbleed
2LibreOffice Productivity Suite
Considerazioni Personali
Pazzesco
OpenSSL: progetto OpenSource che implementa il protocollo SSL/TLSSSL/TLS: protocollo di sicurezza che garantisce la privacy della comunicazioneInsicurezza più totale!
Affascinante
Dati utente, user/password, chat private, email, cookie, …Private Key del Server
3LibreOffice Productivity Suite
Un lucchetto falso...
Introdotto per sbaglio nel 2012 da Robin Seggelmann
Scoperto nel 2014 da un ingegnere di Google e dal gruppoCODENOMICON. Scoperto grazie al fatto che il progetto è OPENSOURCE
Dal 2012 al 2014 Heartbleed venne tenuto segreto esfruttato dall’NSA per spiare le comunicazioni legittimandola sicurezza nazionale.
4LibreOffice Productivity Suite
In che cosa consiste il bug?
Mancato controllo sulla lunghezza (payload_length) del pacchetto Heartbeat Message Request con la lunghezza (length) dell’SSL3_Record. SSL3_Record contiene la reale lunghezza che deve considerare il server web prima di rispondere al client con un Heartbeat Message Response Vulnerabilità: Buffer Over-read
Il server invia all’attaccante il contenutodell’area di memoria del processo di OpenSSL
5LibreOffice Productivity Suite
Diagramma ComprensivoL’attaccante invia un payload di dati di 5 byteL’attaccante invia un payload di dati di 5 byte
falsificando la lunghezza del pacchettofalsificando la lunghezza del pacchettoa 65535 bytesa 65535 bytes
Il server risponde inviando 65535 bytes di dati (invece che soli 5 bytes)In questo modo, l’attaccante riceve dei dati che stanno in un area di memoria
contigua alla sua precedente richiesta. Questi dati sono dati sensibili.
6LibreOffice Productivity Suite
Recupero User/Password
Virtualizzazione in locale di un server webvulnerabilie ad Heartbleed
● Creazione Pagina di Login di prova (da notare che è in https!)
● Sfruttamento della vulnerabilità recuperando (nel computer dell’attaccante) le credenziali “admin” “admin”inserite nella pagina di prova.
7LibreOffice Productivity Suite
Recupero Private Key del Server
8LibreOffice Productivity Suite
In conclusione
● Aggiornare alla più recente versione di OpenSSL. (>=1.0.1g)
● Revoca dei certificati e delle chiavi.La 1 e la 2 devono essere applicate contemporaneamente.
Gli attaccanti non lasciano traccia nei log di sistema. Questo vuol dire che si può solo dare una stima dei danni.
9LibreOffice Productivity Suite
All text and image content in this document is licensed under the Creative Commons Attribution-Share Alike 3.0 License (unless otherwise specified). "LibreOffice" and "The Document Foundation" are registered trademarks. Their respective logos and icons are subject to international copyright laws. The use of these therefore is subject to the trademark policy.
Grazie, spero di non avervi dissanguato.