Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 11-04-2014, 23.28.42   #1
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
HeartBleed - Perchè così pericoloso ?

Beh ragazzi, facciamo un po di luce su questa falla così pericolosa, che ne dite ?
Prima di tutto, cerchiamo di capire in cosa consiste la paura del bug e perchè sia necessario che si proceda ad aggiornare il toolkit per TLS/SSL sui server interessati, il prima possibile.
La paura è fondata, poichè nessuno fino a poco tempo fa si era mai accorto di un errore d'implementazione di OpenSSL che potesse rivelare più di quanto ci si aspettasse: Il dumping della memoria.
Alcuni di voi (forse nessuno, forse qualcuno) avrà sicuramente sentito parlare di SSLStrip.
Ebbene, SSLStrip da solo non fa proprio nulla: Affinchè funzioni, esso deve essere utilizzato in combinazione con iptables e con direttiva PREROUTING, affinchè si possa bypassare il layer su socket sicuro (SSL).
Un layer, non è forse uno strato e più layers non formano più strati sovrapposti (The Onion Router) ?
La risposta è affermativa, anzi, aggiungo che cifratura e decifratura delle informazioni sotto SSL avvengono in locale ed in memoria locale; La memoria è locale sia sul server, sia sul client, indipendentemente dal numero di layers che si frappongono tra il client ed il server, sebbene comunichino tra loro secondo cifratura, attraverso internet.
Non è certo SSLStrip il fulcro della questione, tantomeno è mia intenzione parlarne approfonditamente, ma tra poco vi renderte conto del perchè l'ho citato "di sfuggita" a proposito di bypass.
Andiamo con ordine e focalizziamoci sulla ricerca di informazioni riguardo al cuore sanguinolento che siano sufficientemente esaustive per avere almeno un punto di partenza:
http://blog.trendmicro.com/trendlabs...vulnerability/

Leggiamo:
"The vulnerability, dubbed as the Heartbleed Bug, exists on all OpenSSL implementations that use the Heartbeat extension"

Cos'è questa Heartbeat extension ?
Chi ha dimestichezza con openssl, saprà sicuramente come verificare l'estensione di cui si parla e saprà sicuramente che openssl è in grado di fornire informazioni dettagliate del processo di handshake per stabilire una connessione sicura via TLS/SSL, seppur per scopi di debug:

openssl s_client -connect server.com:443 -tlsextdebug
oppure (Ricerca con grep e visualizza la stringa "heartbeat" nello stream generato da openssl, interpretato da echo, ritornando al prompt quando incontra a capo)
echo -e "quit\n" | openssl s_client -connect server.com:443 -tlsextdebug 2>&1 | grep heartbeat

Ricercando in internet, troverà che Heartbeat affligge OpenSSL in diverse sue versioni di rilascio, diciamo antiquate, rispetto all'odierno 2014.
Vi sarà chiaro che la prima operazione da effettuare per chi volesse sfruttare il baco, sarebbe quella di testare ogni singolo sito che ospitasse OpenSSL e fosse corredato dall'estensione indicativa della vulnerabilità presa in esame.

Leggiamo ancora:
"When exploited on a vulnerable server, it can allow an attacker to read a portion — up to 64 KB’s worth — of the computer’s memory at a time, without leaving any traces"

Chiaro.
Stiamo interrogando un server senza reale scambio dati, solo connettendoci attraverso handshake.
Interessanti i 64 kb, non trovate ?

Leggiamo ancora:
"This small chunk of memory could contain user-critical personal information — private keys, usernames, passwords (in cleartext in a lot of cases), credit card information, and confidential documents for example. The attacker could request this chunk again and again in order to get as much information as they want – and this bug could be exploited by anyone on the Internet, anywhere."

Perbacco ! chiavi private, nomi utente, password in chiaro (in molti casi), informazioni su carte di credito, documenti confidenziali.
Come è possibile ricavare tutte queste informazioni da un protocollo protetto da cifratura !?!
La risposta risiede nel fatto che TLS/SSL è un ulteriore strato del livello più alto (Application) della pila OSI del protocollo TCP/IP e se questo è mal implementato e funziona su un server, nei pacchetti di ritorno può confluire parte della memoria di quel server...
Più interrogazioni vengono eseguite, maggiore è la possibilità che tra le informazioni ricevute ci siano quelle di maggiore interesse, non per ultimi i certificati utili ad attacchi di falsa impersonificazione, redirect, packet injection, man in the middle...
Ahimè, Il cuore sanguina.

Buona serata a tutti.

ps: Prima di mettere mano ai vs. account, cambiando password e dati personali, premuratevi di verificare che quel sito non sia più vulnerabile, perchè in caso contrario, perdereste tempo inutilmente.
Cordialità
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 12-04-2014, 15.56.27   #2
axell
Senior Member
 
L'avatar di axell
 
Registrato: 06-11-2002
Messaggi: 323
axell promette bene
Rif: HeartBleed - Perchè così pericoloso ?

Quota:
Inviato da LoryOne Visualizza messaggio

ps: Prima di mettere mano ai vs. account, cambiando password e dati personali, premuratevi di verificare che quel sito non sia più vulnerabile, perchè in caso contrario, perdereste tempo inutilmente.
Cordialità
e come si effettua questa verifica?
axell non è collegato   Rispondi citando
Vecchio 12-04-2014, 17.32.26   #3
RunDLL
Gold Member
 
L'avatar di RunDLL
 
Registrato: 20-05-2004
Loc.: Perugia
Messaggi: 4.188
RunDLL è nella strada per il successo
Rif: HeartBleed - Perchè così pericoloso ?

Almeno per una volta quello sotto accusa è Linux.
___________________________________

Ogni computer ha la sua storia.
Dermatite Seborroica? www.dermatiteseborroica.info
RunDLL non è collegato   Rispondi citando
Vecchio 12-04-2014, 20.11.59   #4
booty island
Guarda dietro di te... una scimmia a tre teste!
Top Poster
 
Registrato: 05-11-2002
Loc.: 127.0.0.1
Messaggi: 4.688
booty island è nella strada per il successobooty island è nella strada per il successo
Rif: HeartBleed - Perchè così pericoloso ?

Non é Linux direttamente ma di OpenSSL: quest'ultimo è disponibile anche per Windows, ad esempio.
booty island non è collegato   Rispondi citando
Vecchio 12-04-2014, 21.44.37   #5
RunDLL
Gold Member
 
L'avatar di RunDLL
 
Registrato: 20-05-2004
Loc.: Perugia
Messaggi: 4.188
RunDLL è nella strada per il successo
Rif: HeartBleed - Perchè così pericoloso ?

Mi risulta nello specifico che il problema affligge esclusivamente i mail server con Debian e derivati.
___________________________________

Ogni computer ha la sua storia.
Dermatite Seborroica? www.dermatiteseborroica.info
RunDLL non è collegato   Rispondi citando
Vecchio 12-04-2014, 22.16.17   #6
booty island
Guarda dietro di te... una scimmia a tre teste!
Top Poster
 
Registrato: 05-11-2002
Loc.: 127.0.0.1
Messaggi: 4.688
booty island è nella strada per il successobooty island è nella strada per il successo
Rif: HeartBleed - Perchè così pericoloso ?

Tutti i sistemi con OpenSSL non aggiornati sono a rischio, mentre con la versione 1.0.1g si chiude la falla.
booty island non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Perchè le donne non sono come noi uomini? Kal-El Chiacchiere in libertà 16 14-10-2010 23.18.21
WT Antigobbi Club handyman Chiacchiere in libertà 598 05-10-2009 14.01.37
Sfoghi. Flying Luka Chiacchiere in libertà 1063 06-01-2006 00.56.34
Pensiero del momento Flying Luka Chiacchiere in libertà 1847 08-12-2005 13.55.14
Domanda senza risposta.. Mr.Dirty Chiacchiere in libertà 81 12-05-2004 17.14.47

Orario GMT +2. Ora sono le: 10.07.25.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.