Чем ещё грозит Heartbleed простому пользователю?

в 15:50, , рубрики: информационная безопасность

Аннотация переводчика

Мой топик должен восполнить некий пробел в теме «Чем грозит Heartbleed простому пользователю», благодарю FFF за пост: habrahabr.ru/post/219151

Уязвимости клиентов никто не отменял. Но если топовые платёжные сервисы реагируют в течение суток, то как долго ждать обновлений от производителя смартфона или, скажем, «умного» ТВ? Нехороший сайт сможет запросто выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком «умного» телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать веб-страницы (включая ваш домашний Linux), и при этом обрабатывающее конфиденциальные данные — это цель, и порой на долгие годы.
Даю вам перевод статьи Роба Ванденбринка (Rob VandenBrink) целиком, это не заняло много времени.

Другая сторона Heartbleed: уязвимости клиента

Нам сообщают о клиентских приложениях, уязвимых к угрозе Heatbleed. Как и в случае с серверными приложениями, уязвимость клиентов определяется версией OpenSSL.
Думаете, очередной случай из серии «ждите исправлений»? Обновление произойдёт тогда, когда вендор… так, погодите-ка. А когда именно производитель вашего «умного» телевизора обещал выпустить исправление для встроенного в ТВ браузера? И когда вы собирались его установить? А как насчёт телевизора у брата жены? Похоже, эта клиентская уязвимость проживёт гораздо дольше всех серверных…
Тут есть сочетание определённой уязвимости Heartbleed со спецификой встраиваемых (embedded) устройств, которые могут не обновляться вообще никогда. Либо такие устройства обновляются в течение пары лет после выпуска, а по выходу новой модели просто бросаются вендором на произвол судьбы. Хорошие примеры — домашние роутеры и умные телевизоры, но это могут быть и медицинские устройства.
Весьма солидным дополнением к теме являются устройства Android, продаваемые и обслуживаемые оператором связи в обход производителя кода (Google). У таких устройств обновления либо редки, либо их нет вовсе. Но при этом используются они повсеместно: первое, что обычно приходит в голову, это банковские онлайн-приложения. Т.е. мы имеем сочетание бытового, используемого всеми устройства и уязвимости, которая открывает его память вредоносному (или взломанному) серверу. Это потенциал оружия массового поражения, на долгом жизненном цикле устройства (получаются годы вместо недель или месяцев).
Другие использующие шифрование приложения, которых мы не привыкли считать «клиентами», включают: традиционный софт баз данных, клиентов облачных сервисов, специальные программы-браузеры для развлекательных порталов, даже драйверы устройств. Легко просто сказать «такое-то приложение уязвимо», но оно может использоваться на вашем ПК, планшете, смартфоне, ТВ, видеоприставке, тренажёре, холодильнике, климат-контроле — список всё растёт и растёт дальше, в сторону всё более мелких устройств, обновлять которые уж точно никто не собирается.

Вот только некоторые уязвимые приложения (teleghost: этот перечень упоминался неоднократно, немного дополнен, источники в ссылках):

  • MariaDB 5.5.36
  • wget 1.15 (раскрывает память более ранних соединений и своего состояния)
  • curl 7.36.0
  • git 1.9.1 (проверялся clone / push, утечка слабая)
  • nginx 1.4.7 (в режиме прокси-сервера, раскрывает память предыдущих запросов)
  • links 2.8 (раскрывает содержимое предыдущих визитов!)
  • Все приложения KDE, использующие KIO (Dolphin, Konqueror)
  • AnyConnect for Apple iOS
  • Juniper Odyssey 802.1x Client 5.6r5 и более поздний
  • Различные версии Junos Pulse VPN Client
  • OpenVPN
  • ...

Вывод переводчика

Лично моё мнение таково, что в течение нескольких недель или месяцев силы зла будут собирать жирные пенки, сливки и тому подобную сметану с платёжных систем и банковских сервисов, и только после этого переключаться на наш с вами бытовой уровень. Сначала пройдутся по всему, что у нас так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся по рукам, будут просто красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Если раньше я понимал, что моим смартфоном может воспользоваться только АНБ, то теперь это может быть любой проходимец средней руки. Уже не так смешно, правда?

Берегите себя.

Ссылки

isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely
community.openvpn.net/openvpn/wiki/heartbleed

Автор: teleghost

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js