[Tux-planet] Bitcoin "“ Pas si anonyme que ça sur le réseau ?Alerte générale : grosse faille de sécurité dans OpenSSL

/public/images/icons/heartbleed.png
Alerte générale : une nouvelle faille vient d'être découverte dans la librairie OpenSSL. Cet exploit, appelé aussi "The Heartbleed Bug", permet à n'importe qui sur Internet de lire la mémoire des systèmes utilisant une version vulnérable d'OpenSSL (extraction de 64K de données par requête, voir plus dans certaines conditions).

Cette technique permet de voler les clés privées et d'espionner des communications, de voler des données... et ceci sans laisser aucune trace, le top. Pour corriger le problème, il suffit simplement de mettre à jour votre distribution et notamment le paquet OpenSSL. Tous les détails techniques sont lisibles ici ou ici (en anglais).

Comment tester rapidement si mon site HTTPS est affecté par cette faille ?

Rien de plus simple, il suffit d'utiliser cet outil en ligne : filippo.io/Heartbleed/

Exemple pour Tux-planet : filippo.io/Heartbleed/#www.tux-planet.fr:443

/public/images/screenshots/sites/heartbleed/bug-openssl.png

Quelles sont les versions d'OpenSSL affectées ?

• OpenSSL 1.0.1 jusqu'à la version 1.0.1f incluse sont vulnérables (traduction, les versions 1.0.1 abcdef sont concernées)
• OpenSSL 1.0.1g n'est pas concernée
• La branche OpenSSL 1.0.0 n'est pas concernée
• La branche OpenSSL 0.9.8 n'est pas concernée

Le bug a été introduit dans OpenSSL en décembre 2011 par un agent infiltré de la NSA, de quoi avoir quelques frissons.

Quels sont les systèmes affectés par cette faille ?

Voici quelques exemples de distribution Linux vulnérables :

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

Les systèmes suivants ne sont pas vulnérables :

• Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
• SUSE Linux Enterprise Server

Un script Python pour jouer un peu avec la faille

Pour ceux qui veulent faire mumuse, un script Python est disponible ici. Voici un exemple d'utilisation sur un site non vulnérable :

Et sur un site vulnérable, la mémoire du processus est dumpé et retourné à l'attaquant :

/public/images/screenshots/sites/heartbleed/hearbleed-poc.png

Edit : si vous voulez jouer, le site yahoo.com est encore vulnérable :

La faille Heartbleed concerne t-elle uniquement les sites en HTTPS ?

La réponse est non. La faille est au niveau OpenSSL et non au niveau du service. Les serveurs HTTPS ne sont donc pas les seuls impactés. Les services reposant sur IMAPS, SMTPS, OpenVPN, etc... sont également concernés. Voici une commande qui permet de déterminer les services à redémarrer après une mise à jour d'OpenSSL sur un serveur :

Comment scanner un réseau entier à la recherche de cette faille avec Nmap

Voici la procédure à suivre pour scanner un réseau avec l'outil Nmap. On  commence par installer Namp et les scripts qui vont bien :

On vérifie que l'on à bien une version récente de Nmap :

On lance le scan sur un réseau entier :

La faille Heartbleed expliquée pour les nuls en une image

Pour finir, voici une petite BD en anglais qui explique comment fonctionne la faille OpenSSL Heartbleed.

/public/images/screenshots/sites/heartbleed/heartbleed-explanation.png