Pull to refresh

Чем ещё грозит Heartbleed простому пользователю?

Information Security *
Translation
Original author: Rob VandenBrink

Аннотация переводчика


Мой топик должен восполнить некий пробел в теме «Чем грозит Heartbleed простому пользователю», благодарю FFF за пост: habrahabr.ru/post/219151

Уязвимости клиентов никто не отменял. Но если топовые платёжные сервисы реагируют в течение суток, то как долго ждать обновлений от производителя смартфона или, скажем, «умного» ТВ? Нехороший сайт сможет запросто выпотрошить память клиента — недопатченного браузера, смартфона, планшета, слишком умного телевизора, видео- или игровой приставки, и т.д. Всякое устройство, способное загружать веб-страницы (включая ваш домашний Linux), и при этом обрабатывающее конфиденциальные данные — это цель, и порой на долгие годы.
Даю вам перевод статьи Роба Ванденбринка (Rob VandenBrink) целиком, это не заняло много времени.

Другая сторона Heartbleed: уязвимости клиента


Нам сообщают о клиентских приложениях, уязвимых к угрозе Heatbleed. Как и в случае с серверными приложениями, уязвимость клиентов определяется версией OpenSSL.
Думаете, очередной случай из серии «ждите исправлений»? Обновление произойдёт тогда, когда вендор… так, погодите-ка. А когда именно производитель вашего «умного» телевизора обещал выпустить исправление для встроенного в ТВ браузера? И когда вы собирались его установить? А как насчёт телевизора у брата жены? Похоже, эта клиентская уязвимость проживёт гораздо дольше всех серверных…
Имеем неприятное сочетание уязвимости Heartbleed со спецификой встраиваемых (embedded) устройств, которые могут не обновляться вообще никогда. Либо они обновляются в течение пары лет после выпуска, а по выходу новой модели производитель просто бросает их на произвол судьбы. Хорошие примеры — домашние роутеры и умные телевизоры, но это могут быть и медицинские устройства.
Весьма солидным дополнением к теме являются устройства Android, которые оператор связи продаёт и обслуживает в обход производителя кода (Google): у таких устройств обновления либо редки, либо их нет вовсе, но используются они широко. Первое, что обычно приходит в голову, это, конечно, банковские онлайн-приложения. В итоге имеем сочетание товара широкого потребления и уязвимости, которая открывает его память почти любому вредоносному (или взломанному) серверу. Это потенциал оружия массового поражения, с долгим жизненным циклом устройства (получаются годы вместо недель или месяцев).
Прочие приложения с шифрованием, которые мы не привыкли считать «клиентами», включают: традиционный софт баз данных, клиентов облачных сервисов, специальные программы-браузеры для развлекательных порталов, даже драйверы устройств. Недостаточно просто сказать «такое-то приложение уязвимо», оно может использоваться на вашем ПК, планшете, смартфоне, ТВ, видеоприставке, тренажёре, холодильнике, климат-контроле — список всё растёт и растёт дальше, в сторону всё более мелких устройств, обновлять которые уж точно никто не собирается.

Вот только некоторые уязвимые приложения (@teleghost: этот перечень упоминался неоднократно, немного дополнен, источники в ссылках):
  • MariaDB 5.5.36 (@teleghost: спорно)
  • wget 1.15 (раскрывает память более ранних соединений и своего состояния)
  • curl 7.36.0
  • git 1.9.1 (проверялся clone / push, утечка слабая)
  • nginx 1.4.7 (в режиме прокси-сервера, раскрывает память предыдущих запросов) (@teleghost: спорно)
  • links 2.8 (раскрывает содержимое предыдущих визитов!)
  • Все приложения KDE, использующие KIO (Dolphin, Konqueror)
  • AnyConnect for Apple iOS
  • Juniper Odyssey 802.1x Client 5.6r5 и более поздний
  • Различные версии Junos Pulse VPN Client
  • OpenVPN
  • ...


Вывод переводчика


Лично моё мнение таково, что в течение нескольких недель или месяцев силы зла будут собирать жирные пенки, сливки и тому подобную сметану с платёжных систем и банковских сервисов, и только после этого переключаться на наш с вами бытовой уровень. Сначала пройдутся по всему, что у нас так или иначе связано с платёжными картами и платными сервисами. Затем, когда технологии разойдутся по рукам, будут просто красть пароли от всего подряд. Хуже всего дела у умных телевизоров и некоторых моделей смартфонов, там обновлений можно ждать годами и не дождаться никогда.
Если раньше я понимал, что моим смартфоном может воспользоваться только АНБ, то теперь это может быть любой проходимец средней руки. Уже не так смешно, правда?

Берегите себя.

Ссылки


isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945
security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely
community.openvpn.net/openvpn/wiki/heartbleed
Tags:
Hubs:
Total votes 39: ↑28 and ↓11 +17
Views 19K
Comments Comments 68