И снова Heartbleed: размер ущерба?

22.03.2014 | Ровнов Павел
Want create site? Find Free WordPress Themes and plugins.

Многие организации уже спустя несколько часов после того, как CVE-2014-0160 (Hearbleed) была опубликована, поспешили сообщить, что их информационные системы более не подвержены уязвимости. И если информационные системы, которые не были подвержены уязвимости (к примеру, использовали OpenSSL  ver. 0.9.8 ) заведомо не пострадали от HeartBleed, этого нельзя со всей уверенностью сказать о системах, которые использовали уязвимую версию библиотеки.

Масло в огонь подливают следующие факты:
— HeartBleed существовала без малого 2 года (с марта 2012) и для тех, кто знал об уязвимости, могла служить отличным вектором для атаки;
— работа эксплойта не оставляет «следов» в журналах аудита уязвимой системы, будь то веб-приложение или почтовый сервер.

Так можно ли достоверно знать, что ваша информационная система не была скомпрометирована?  Я вижу, по крайней мере, два сценария, в которых ответ на этот вопрос положительный.

Сценарий 1. Веб-сайт обслуживает клиентов по протоколу HTTPS (TCP 443). В случае если в информационном потоке на порту TCP 443 появляются нешифрованные данные (персональные данные пользователей или служебные данные веб-приложения, как например cookie)  можно бить тревогу. Такая логика могла бы, вообще говоря, не только обеспечить формальное соответствие требованиям PCI DSS (для кого это является необходимостью), но и обнаружить HeartBleed-атаку в момент ее проведения, а значит, возможно, до публикации.

Сценарий 2. Уже после публикации уязвимости, но еще до ее непосредственного исправления, можно просмотреть информационные потоки к уязвимым информационным системам на предмет «следов» Heartbleed. В случае если злоумышленник и не думал прекращать атаку, ее можно будет обнаружить по аномалиям протокола SSL/TLS. Благо производители устройств DPI/DSI (Deep Packet Inspection/Deep Session Inspection) оперативно предоставили правила, позволяющие записать информационный поток в момент атаки и просмотреть его на предмет «утекающих данных»:

Первый сценарий придется по душе организациям, которые предпочитают заранее уменьшить поверхность атаки, и тем самым, возможно, предотвратить ее. Второй сценарий применим в том случае, если организация желает оценить нанесенный атакой ущерб. Но есть еще и третий сценарий – ничего не делать, поскольку, как известно, счастье в неведении.

Did you find apk for android? You can find new Free Android Games and apps.
Комментариев пока нет
Добавить комментарий