Heartbleed também atingiu redes complexas de autenticação, apontam especialistas

Por Redação | 22 de Abril de 2014 às 09h25

Desde que foi anunciada a falha de segurança no OpenSSL denominada "Heartbleed", vários testes e verificações vêm sendo feitos para descobrir até que ponto os dados foram ou podem ser comprometidos a partir da vulnerabilidade.

O resultado de uma dessas análises, infelizmente, não é muito animador, principalmente para quem se sentia protegido em redes mais complexas: é possível roubar chaves privadas de um ambientes de criptografia mais avançada e até mesmo simular um servidor.

De acordo com o site Ars Technica, uma equipe de pesquisadores da empresa especializada em cibersegurança, a Mandiant, tentou explorar a vulnerabilidade em uma ferramenta utilizada por usuários que acessam a rede fora da empresa, a "VPN concentrator".

Para identificar a invasão, o pessoal da Mandiant notou que o hacker enviou versões incompletas do 'hearbeat' – que são os "pulsos" de informação da comunicação digital – para um servidor com VPN. A partir do Heartbleed, o invasor conseguiu obter os tokens dos usuários ativos.

Com esses tokens, o hacker roubou as múltiplas sessões de um usuário, enganou o "VPN concetrator" da rede e se passou por um funcionário da organização.

A partir do obtido, os pesquisadores cruzaram dados de assinaturas de invasão e o histórico de acessos à VPN, obtiveram 17 mil alertas e chegaram a conclusão de que os 'heartbeats' afetavam diretamente os procolos criptográficos do dispositivo de segurança interno da empresa.

HEARTBLEED

Mensagem de alerta de invasões a partir do Heartbleed com 'heartbeats' estranhos.

Os "hackers" conseguiram não apenas as senhas mas também as chaves privadas e os dados de acessos. Ou seja, eles conseguiram roubar sessões inteiras, o que permite até mesmo simular o comportamento do usuário e enganar sistemas considerados mais seguros, inclusive os que exigem tokens.

Com a divulgação dessa falha, os pesquisadores também publicaram algumas recomendações de segurança:

  1. Identifique a infraestrutura afetada pela vulnerabilidade e a atualize o quanto antes;
  2. Implemente a detecção de assinaturas de invasão para identificar as diferentes tentativas de exploração da vulnerabilidade. Na experiência, o invasor enviou centenas de tentativas porque a vulnerabilidade expõe apenas 64KB de dados por vez de um setor randômico da memória;
  3. Faça a revisão do histórico de acessos à sua rede privada para identificar os momentos em que os endereços de IP de uma sessão mudaram repetidas vezes entre dois endereços de IP. É comum para um endereço de IP mudar durante uma sessão, mas é muito incomum o IP mudar constantemente entre endereços que estão em diferentes blocos da rede, em distintos provedores e lugares ou apenas tão rápido em um curto período de tempo.

Fonte: http://arstechnica.com/security/2014/04/heartbleed-exploited-to-hack-network-with-multifactor-authentication/

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.