Heartbleed também atingiu redes complexas de autenticação, apontam especialistas

Por Redação | 22 de Abril de 2014 às 09h25

Desde que foi anunciada a falha de segurança no OpenSSL denominada "Heartbleed", vários testes e verificações vêm sendo feitos para descobrir até que ponto os dados foram ou podem ser comprometidos a partir da vulnerabilidade.

O resultado de uma dessas análises, infelizmente, não é muito animador, principalmente para quem se sentia protegido em redes mais complexas: é possível roubar chaves privadas de um ambientes de criptografia mais avançada e até mesmo simular um servidor.

De acordo com o site Ars Technica, uma equipe de pesquisadores da empresa especializada em cibersegurança, a Mandiant, tentou explorar a vulnerabilidade em uma ferramenta utilizada por usuários que acessam a rede fora da empresa, a "VPN concentrator".

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Para identificar a invasão, o pessoal da Mandiant notou que o hacker enviou versões incompletas do 'hearbeat' – que são os "pulsos" de informação da comunicação digital – para um servidor com VPN. A partir do Heartbleed, o invasor conseguiu obter os tokens dos usuários ativos.

Com esses tokens, o hacker roubou as múltiplas sessões de um usuário, enganou o "VPN concetrator" da rede e se passou por um funcionário da organização.

A partir do obtido, os pesquisadores cruzaram dados de assinaturas de invasão e o histórico de acessos à VPN, obtiveram 17 mil alertas e chegaram a conclusão de que os 'heartbeats' afetavam diretamente os procolos criptográficos do dispositivo de segurança interno da empresa.

HEARTBLEED

Mensagem de alerta de invasões a partir do Heartbleed com 'heartbeats' estranhos.

Os "hackers" conseguiram não apenas as senhas mas também as chaves privadas e os dados de acessos. Ou seja, eles conseguiram roubar sessões inteiras, o que permite até mesmo simular o comportamento do usuário e enganar sistemas considerados mais seguros, inclusive os que exigem tokens.

Com a divulgação dessa falha, os pesquisadores também publicaram algumas recomendações de segurança:

  1. Identifique a infraestrutura afetada pela vulnerabilidade e a atualize o quanto antes;
  2. Implemente a detecção de assinaturas de invasão para identificar as diferentes tentativas de exploração da vulnerabilidade. Na experiência, o invasor enviou centenas de tentativas porque a vulnerabilidade expõe apenas 64KB de dados por vez de um setor randômico da memória;
  3. Faça a revisão do histórico de acessos à sua rede privada para identificar os momentos em que os endereços de IP de uma sessão mudaram repetidas vezes entre dois endereços de IP. É comum para um endereço de IP mudar durante uma sessão, mas é muito incomum o IP mudar constantemente entre endereços que estão em diferentes blocos da rede, em distintos provedores e lugares ou apenas tão rápido em um curto período de tempo.
Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.