Rengeteg problémát vet fel az OpenSSL hibája

A múlt héten az OpenSSL sebezhetősége nagy port kavart, persze nem véletlenül. A sérülékenység jóval kiterjedtebb problémákat hozott felszínre, mintsem, hogy azokat pár nap alatt orvosolni lehetne.
 

A Heartbleed néven emlegetett sebezhetőség már legalább két éve jelen van a széles körben alkalmazott OpenSSL-ben, de arról csak a múlt héten hullt le a lepel. A problémára először a Google, valamint Codenomicon biztonsági kutatói hívták fel a figyelmet. A felfedezésükkel egy olyan kiterjedt problémára világítottak rá, amelynek megoldásához hosszabb időre van szükség. Ennek oka, hogy ezúttal nemcsak a webszervereket kell frissíteni – még ha ez is a legalapvetőbb teendő –, hanem ennél több mindenre kell figyelni.

Az OpenSSL sebezhetősége kapcsán fontos hangsúlyozni, hogy ezúttal sem arról van szó, hogy az SSL, illetve TLS esetében alkalmazott titkosítási elgondolások szenvedtek csorbát, hanem sokkal inkább egy programhibáról van szó. A biztonsági rés a TLS heartbeat kiegészítősében található, ami memóriakezelési rendellenességeket idézhet elő. Ennek következtében speciálisan szerkesztett hálózati csomagok révén lehetőség van az adott szerver vagy eszköz memóriájához való hozzáférésre, ahonnan 64 KB-os blokkokban adatok szivárogtathatók ki.

Webszerverek és tanúsítványok

A múlt héten a webszerverek üzemeltetőinek többsége már biztosan felfigyelt a biztonsági kockázatra, és elkezdte frissíteni az érintett kiszolgálókat. A sebezhetőség nagyvállalatok és pénzintézetek rendszereit is sújtotta, így a foltozgatás töretlenül zajlott, és még zajlani is fog egy jó darabig. Azonban a sérülékenység megszüntetése önmagában még korántsem biztos, hogy elegendő ahhoz, hogy a kockázatok elfogadható szintre csökkenjenek. Ugyan a frissítést tartalmazó szerverek már immunisak a Heartbleed károkozásokkal szemben, azonban semmi nem garantálja azt, hogy korábban nem lett áldozat egy adott kiszolgáló. Ráadásul az ilyen jellegű támadások utólagos felismerése nagyon nehéz, adott esetben lehetetlen feladat, ugyanis a naplózások hatóköre ezekre a kártékony műveletekre nem terjedt ki.

A biztonsági cégek és szakemberek többsége további óvintézkedéseket javasolt. Egyrészt a felhasználóknak célszerű megváltoztatniuk a jelszavaikat, másrészt az üzemeltetőknek meg kell fontolniuk a sebezhető szerverekhez tartozó tanúsítványok cseréjét. Ezt egyre többen teszik meg: a Comodo jelentése szerint az utóbbi napokban 10-12-szeresére nőtt a tanúsítványcserékhez köthető műveletek száma. A tanúsítványok visszavonására és újbóli kibocsátására elsősorban azért lehet szükség, mert az adatszivárgásra lehetőséget adó hiba akár a privát kulcsok jogosulatlan kezekbe kerülését is eredményezhette vagy eredményezheti. Erre vonatkozó kísérletek már történtek, és bebizonyosodott, hogy e kockázatok valósak.

Hálózati eszközök

Az OpenSSL kapcsán feltárt hiba azért is okoz sok fejtörést, mert a sebezhető komponens nem kizárólag a webszervereket sújtja. Az OpenSSL egyebek mellett hálózati eszközökben is gyakorta felbukkan, ami most bőven ad munkát a gyártóknak. Többek között a Cisco és a Juniper fejlesztői is gőzerővel dolgoznak azon, hogy egyrészt behatárolják a sebezhető termékeik körét, másrészt azokhoz megfelelő javításokat adjanak ki. A Cisco a weboldalán közölte a sérülékeny és a potenciálisan sebezhető termékeinek listáját, de ugyanezt megtette a Juniper is. Emellett olyan gyártók is érintettek, mint például a McAfee, az IBM, az F5, az Aruba, a Kerio, a Sophos és a Splunk. Ha pedig a sérülékeny alkalmazásokat vesszük szemügyre, akkor azok között olyanokat találunk, mint az OpenVPN, a SurgeMail vagy éppen a LibreOffice.

A mobilok sem úszták meg

Az eddigiek alapján jól látható, hogy az OpenSSL hibája milyen széles körű problémát idézett elő. Azonban a történetnek még koránt sincs vége, ugyanis kiderült, hogy akár mobil készülékek is sebezhetők lehetnek. A Lookout Security vizsgálatai alátámasztották, hogy az Android 4.1.1-es és 4.2.2-es verzióit is veszélyezteti a biztonsági rés, viszont például a 4.5-ös kiadás nem sérülékeny, mivel az a kockázatot jelentő OpenSSL összetevőt nem használja. Ugyanakkor nemcsak az Android ”szenved”, hanem például a BlackBerry egyes alkalmazásai (Link, BBM, Secure Work Space for BES10) is.

Hibajavítási lehetőségek

Az OpenSSL sebezhetősége az 1.0.1f - 1.0.2-beta kiadásokat érinti. A fejlesztők a hibát az OpenSSL 1.0.1g verziójában javították ki. (Az 1.0.0-ás és 0.9.8-as főverziók nem tartalmazzák a hibát). Az interneten elérhetők olyan szolgáltatások, illetve kódok, amelyek révén ellenőrizhető, hogy egy kiszolgáló sebezhető-e vagy sem. A védekezés azonban jóval nehezebb a hálózati eszközök, az appliance-ek, valamint a mobil készülékek vonatkozásában, ugyanis azok esetében meg kell várni, hogy a gyártók kiadják a megfelelő frissítéseket vagy az új firmware verziókat.