figura 1: heartbleed imagen dada
Es un fallo en los latidos de las conexiones SSL“Secure Sockets Layer” TLS Transport Layer Security, es una vulnerabilidad bastante seria descubierta en OpenSSL. Este fallo, puede permitir que la información protegida por los métodos de cifrado SSL/TLS pueda ser robada. El bug conocido como Heartbleed deja que cualquiera pueda leer la memoria de los sistemas protegidos por la versión de OpenSSL que fue afectada.
Heartbleed compromete las claves de seguridad secretas que se usan para cifrar el tráfico de los usuarios, los nombres de usuarios, las contraseñas, y el contenido que se transmite. Se han visto afectadas múltiples webs, email, mensajería instantánea y hasta algunas VPNs. Incluso tu cuenta de Minecraft.
Aunque el fallo fue reportado El 7 de abril de 2014, ya tenía unos 2 años rodando, y durante todo ese tiempo, gente con el conocimiento necesario y sin poder ser rastreada de ninguna manera, podría haber estado explotando dicha vulnerabilidad
¿ De que Forma Actuaria Un Atacante ?
Tu primero realizas el handshake o solicitud , negocias con la clave pública del servidor SSL,el cual genera la clave simétrica de sesión, la cual tu devuelves cifrada,esto con el fin de enviar todo el tráfico de la sesión cifrado con la clave simétrica, este es un proceso muy costoso por que se utiliza criptografía asimétrica para realizar la negociación de la clave, para acelerar las conexiones en internet.
Se creo en estándar algo llamado el latido del corazón, de tal forma que realizada la solicitud o el handshake con el servidor, el cliente envía mensajes o latidos en forma de ping “echo request, echo response” y como en el ping la respuesta se basa en la solicitud o mensaje de petición ,en el caso del HEARTBLEED es una petición de 4 bytes, aunque es una petición muy pequeña en esta contiene un fragmento de código en donde especifica cual es la longitud del latido, es decir;
figura 2 :forma de actuar de el bug heartbleed
Que la petición siendo 4 bytes esta puede especificar que la longitud de su latido es de 64 kilobytes, así que cuando el servidor compone la respuesta este empieza a leer desde el lugar de memoria donde se encuentra la petición del latido los 64 kilobytes, y devuelve al atacante esa fracción de memoria.
Como es de conocimiento de todos la memoria no está cifrada y todo lo que se encuentra dentro del servidor está en memoria, esto teniendo en cuenta que son 64 kilobytes por latido,y como las medidas de protección actuales de la memoria hacen que se coloque en un fragmento o zona distinta por cada latido,el temor más grade es que una persona con los conocimientos suficientes puede automatizar este ataque robando todo lo que se encuentra en los servidores en tiempo real,se estima que en internet solo hay cerca de 5 millones servidores de los cuales,Este bug afectado a la mayoría de servidores en internet y compañías compañías entre las cuales se encuentra Facebook, Gmail, Hotmail, twitter, Google, Amazon etc……
hasta pronto .....
No hay comentarios:
Tu Comentario Es Importante