web-dev-qa-db-ja.com

HeartBleed-侵害されたWebサイトを検出する方法

OpenSSLを使用するHTTPSサイトをエンドユーザーとして決定する方法はありますか?ハートブリードにより、秘密鍵が漏洩して盗聴やMitM攻撃が可能となった可能性があるため、クライアントは最近TLS経由で送信されたパスワードを変更することをお勧めします。

ただし、HTTPSサイトからの通知は見ていません。「はい、OpenSSLを使用しました。パスワードを変更してください。」大きなサイトのリストを編集している人はいますか?

できれば、すでにパッチが適用されているものを含めるが、OpenSSLを使用しており、おそらく脆弱でしたか?

はい、私は HeartBleedチェッカーツール があることを確認しましたが、これらのツールは不完全であるように見えます-それらはサイトが現在脆弱であるかどうかを知ることができるだけです。サイトが現在脆弱である場合、誰かが秘密鍵のコピーを使用してそのサイトへのトラフィックをMitMする可能性があります(ただし、MitMではHeartbleedに対して脆弱ではありません)。

6
dr jimbob

エンドユーザーとして、簡単ではありませんが、攻撃者が自慢したり、サイト所有者がそれを発見したりしない限り、実際に何が失われているのかを知ることはできません。

技術的に熟練している場合は、Snortまたは別のIDS/IPSを実行しているすべてのユーザー(エンドユーザーまたはサイトオペレーター)が Snortルール形式のリアルタイム侵害のインジケーター を探すことができます。脆弱な場合も攻撃されます)。これは、誰かが過去にWebサイトを攻撃したかどうかはわかりませんが、誰かが今あなたを攻撃しているかどうかを知ることができます。

  • alert tcp any [!80、!445]-> any [!80、!445](msg: "FOX-SRT-疑わしい-SSLv3ラージハートビートレスポンス"; flow:established、to_client; content: "| 18 03 00 | "; depth:3; byte_test:2、>、200、3、big; byte_test:2、<、16385、3、big; threshold:type limit、track by_src、count 1、seconds 600; reference:cve、2014- 0160; classtype:bad-unknown; sid:1000000; rev:4;)

  • alert tcp any [!80、!445]-> any [!80、!445](msg: "FOX-SRT-Suspicious-TLSv1 Large Heartbeat Response"; flow:established、to_client; content: "| 18 03 01 | "; depth:3; byte_test:2、>、200、3、big; byte_test:2、<、16385、3、big; threshold:type limit、track by_src、count 1、seconds 600; reference:cve、2014- 0160; classtype:bad-unknown; sid:1000001; rev:4;)

  • alert tcp any [!80、!445]-> any [!80、!445](msg: "FOX-SRT-不審-TLSv1.1ラージハートビートレスポンス"; flow:established、to_client; content: "| 18 03 02 | ";深さ:3; byte_test:2、>、200、3、big; byte_test:2、<、16385、3、big;しきい値:タイプ制限、追跡by_src、カウント1、秒600;参照:cve、 2014-0160; classtype:bad-unknown; sid:1000002; rev:4;)

  • alert tcp any [!80、!445]-> any [!80、!445](msg: "FOX-SRT-不審-TLSv1.2ラージハートビートレスポンス"; flow:established、to_client; content: "| 18 03 03 | ";深さ:3; byte_test:2、>、200、3、big; byte_test:2、<、16385、3、big;しきい値:タイプ制限、追跡by_src、カウント1、秒600;参照:cve、 2014-0160; classtype:bad-unknown; sid:1000003; rev:4;)

サイトの所有者は、完全なパケットスニファトレースを記録していて、実際にハートビート要求の応答サイズを検査できたサイトの侵害を検出する可能性があります。それ以外は、事後発見が非常に難しいです。

サイトの所有者がそれを検出するための他の可能な方法は、トラフィック分析です。たとえば、64KBを超える送信応答が多すぎると、警告が表示されます。

ただし、現時点では、いくつかのHeartbleed脆弱性検出器/チェッカーがあり、コミュニティーにリストします。

Qualys SSL Labs は、多かれ少なかれ、標準的な無料のSSLテストサイトです。彼らは数時間前に実験的なHeartbleedテストを追加しました(そして、脆弱であることが判明したすべてのサイトのセキュリティグレードをFに設定しました。

githubのtitanous は現在も活発に開発されているようで、titanousもHeartbleed検出用のGoプログラミングコードをリリースし、今朝の時点でFilippoよりも優れたメッセージを出し、32分前に更新されました。完全な比較はしていませんが、Goライセンスの下にあるようです。 BSD 3条項ライセンスに似ています。

Filippo.io は最初のWebサイトの1つでした githubにコードをリリースしました MITライセンス(Goプログラミング言語) 、最終更新は4時間前です。

githubのMusalbas 約10時間前にPythonプログラム "ssltest.py"をリリースしました。これは、わずか178行(コメントを含む)で大量/バルクテストを実行できます)、 Musalbasはまた、約7時間前の時点で、トップ100、1000、10000、および100万のインターネットサイトをスキャンした結果のリストをリリースしました。これは、Staffordのコードの変種です。

possible.lv は、Heartbleed脆弱性スキャンを実行する別のWebサイトです。

Codenomicon Defensics は、Heartbleedも検出するようです。

@ Lekensteynが数時間前に変更されたペースメーカーpythonクライアントチェッカー をリリースしました。また、ssltest.pyのオリジナルのスタッフォードバージョンもリリースしました。特定のライセンスはリストされていません。

Metasploitここにリンクされているサーバーチェック@ HDMooreと@Lekensteynからのクライアントチェック の両方を含め、Heartbleedテストを非常に迅速に取得しています。

@ DrJimBobごとに、LastPass Heartbleedチェッカー はWebチェッカーの非常に優れた設定です。特に、SSL証明書もチェックします!出力は次のようになります。

Site:   security.stackexchange.com
Server software:    Not reported
Vulnerable: Possibly (might use OpenSSL)
SSL Certificate:    Possibly Unsafe (created 9 months ago at Jul 2 00:00:00 2013 GMT)
Assessment: Wait for the site to update before changing your password
5

あなたができることは、次のオンラインツールを使用してWebサイトが脆弱かどうかを確認することです: http://filippo.io/Heartbleed

正しい場合は、所有者から連絡があったかどうかに関係なく、そのサイトのパスワードを変更することをお勧めします。

ただし、質問の最後の部分に回答するには、いいえ特定のWebサイトが侵害されているかどうかか、外部からではないかを判断することはできません。ユーザーの視点。これは、特定の監査機能が有効になっている場合、フォレンジック、モニタリングなどの従来のインシデント管理手順に従って、システム管理者のみが決定できます。

4
ack__

OpenSSLを使用するHTTPSサイトをエンドユーザーとして決定する方法はありますか?

この情報を伝えることができるのはWebサイト管理者だけです。外部からSSLバージョン情報を取得できます。

ハートブリードにより、秘密鍵が漏洩して盗聴やMitM攻撃が可能となった可能性があるため、クライアントは最近TLS経由で送信されたパスワードを変更することをお勧めします。

パスワードの変更は、パッチがOpenSSLに適用されている場合、またはWebサイトがOpenSSL VERSION 0.1.gにアップグレードされている場合にのみ意味があります。そうしないと、別のパスワードセットの危険性があります。

ただし、HTTPSサイトからの通知は見ていません。「はい、OpenSSLを使用しました。パスワードを変更してください。」大きなサイトのリストを編集している人はいますか?

この脆弱性は新しいものであり、多くのWebサイトがまだソフトウェアを評価しています。多くのWebサイトでハートビート拡張が無効になっているか、独自のSSLを使用しているため、脅威はありません。 Webサイトが危険にさらされている場合は、この通知を投稿する必要があります。

できれば、すでにパッチが適用されているものを含めるが、OpenSSLを使用しており、おそらく脆弱でしたか?

はい、HeartBleedチェッカーツールが存在することを確認しました。ただし、これらのツールは不完全であるように見えます。これらのツールは、サイトが現在脆弱であるかどうかを判断できるだけです。サイトが現在脆弱である場合、誰かが秘密鍵のコピーを使用してそのサイトへのトラフィックをMitMする可能性があります(ただし、MitMではHeartbleedに対して脆弱ではありません)。

これは、IPアドレスを使用したハートビート拡張コールのログメカニズムを介して追跡できます。すべてのWebサイトでハートビート拡張が必要な​​わけではありません。

0
Manoj U