heartbleed i wifi - smerek 31 v 2014
TRANSCRIPT
Wpływ błedu Heartbleed na bezpieczeństwo danych
mgr inż. Grzegorz Wieczorek
Szkoła Główna Gospodarstwa WiejskiegoWydział Zastosowań Informatyki i Matematyki
Smerek, 31 V 2014
1 Wstęp do systemu SSL
2 Heartbleed - czyli o co ta cała afera!
3 Analiza danych zebranych podczas tej konferencji
4 Zakończenie
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 2 / 23
Jak działa SSL
Jak działa SSL?
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 3 / 23
Jak działa SSL
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 4 / 23
RSA
n = p · q (1)
ϕ(n) = (p − 1)(q − 1) (2)
e(1 < e < φ(n)) (3)
d = e−1modϕ(n) (4)
Klucz publiczny - (n, e)Klucz prywatny - (n, d)
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 5 / 23
Heartbleed
CVE-2014-0160
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 6 / 23
Heartbleed
Błąd dotyczy:
Serwisów internetowych (banki, poczta, ...)
Urządzenia mobilne (telefony, tablety, ...)
Aplikacje komputerowe i mobilne
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 7 / 23
Heartbleed
Błąd dotyczy:
Serwisów internetowych (banki, poczta, ...)
Urządzenia mobilne (telefony, tablety, ...)
Aplikacje komputerowe i mobilne
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 7 / 23
Heartbleed
Błąd dotyczy:
Serwisów internetowych (banki, poczta, ...)
Urządzenia mobilne (telefony, tablety, ...)
Aplikacje komputerowe i mobilne
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 7 / 23
Heartbleed
Ten wektor ataku działa aktualnie na systemach (dane na dzieńkonferencji):
Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL1.0.1c 10 May 2012)
FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 8 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 9 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 10 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 11 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 12 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 13 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 14 / 23
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
Heartbleed
Jakie dane można ”wyciągnąć”?:
Klucz prywatny
Loginy i hasła
Wiadomości e-mail
Poufne pliki
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 15 / 23
Heartbleed
Czy problem dotyczy tylko danych znajdujących się na serwerach?
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 16 / 23
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
Heartbleed
Nie! Można też zaatakować komputery użytkowników i ”dobrać się”dotakich danych jak:
Loginy i hasła
Wiadomości e-mail
Oglądane zdjęcia
Uruchomiony dokument tekstowy
Oglądany film
Inne pliki...
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 17 / 23
Heartbleed
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 18 / 23
Heartbleed
Podsumowanie
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 19 / 23
WiFi
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 20 / 23
WiFi
• CellPipe FF82 • Chillin
• DMSairlive • EWA-Dom
• FAST3764-DE81 • HotelLokum
• ICMK-dlink • Jawor
• Livebox-54EC • Malinowy
• Mercure-basic • PENTAGRAM
• REKSIO • Tardis
• WL520GC Z4gM • dlink16A
• linksys • linksys zeii
• osk-wzim-test • wne-pracownicy
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 21 / 23
WiFi
Łącznie podłączonych urządzeń podczas konferencji: 28
mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 22 / 23
Koniec
Dziękuję za uwagę.1
1Źródła obrazków: http://xkcd.com/1354/mgr inż. Grzegorz Wieczorek (SGGW) Heartbleed Smerek, 31 V 2014 23 / 23