SSL/TLS Heartbleed. In questo talk parlo molto velocemente del bug SSL/TLS Heartbleed, bug che ha afflitto dal 2012 al 2014 la cryptolibreria di OpenSSL. Sfruttando il suddetto bug era possibile violare completamente una comunicazione protetta da SSL/TLS. Il talk si conclude spiegando all'utente che il bug è stato risolto grazie al fatto che il progetto di OpenSSL è OpenSource e questo ha facilitato di molto la scoperta e la rilevazione del codice buggato.

1. 1
LibreOffice Productivity Suite
Dr. Lentini Salvatore
Computer Scientist & Junior Penetration Tester
Heartbleed
Demo e fix didattici sull’attacco SSL/TLS Heartbleed

2. 2
LibreOffice Productivity Suite
Considerazioni Personali
Pazzesco
OpenSSL: progetto OpenSource che implementa il
protocollo SSL/TLS
SSL/TLS: protocollo di sicurezza che garantisce la
privacy della comunicazione
Insicurezza più totale!
Affascinante
Dati utente, user/password, chat private,
email, cookie, …
Private Key del Server

3. 3
LibreOffice Productivity Suite
Un lucchetto falso...
Introdotto per sbaglio nel 2012 da Robin Seggelmann
Scoperto nel 2014 da un ingegnere di Google e dal gruppo
CODENOMICON. Scoperto grazie al fatto che il progetto è OPENSOURCE
Dal 2012 al 2014 Heartbleed venne tenuto segreto e
sfruttato dall’NSA per spiare le comunicazioni legittimando
la sicurezza nazionale.

4. 4
LibreOffice Productivity Suite
In che cosa consiste il bug?
Mancato controllo sulla lunghezza (payload_length)
del pacchetto Heartbeat Message Request con la
lunghezza (length) dell’SSL3_Record. SSL3_Record
contiene la reale lunghezza che deve considerare il
server web prima di rispondere al client con un
Heartbeat Message Response
Vulnerabilità: Buffer Over-read
Il server invia all’attaccante il contenuto
dell’area di memoria del processo di OpenSSL

5. 5
LibreOffice Productivity Suite
Diagramma Comprensivo
L’attaccante invia un payload di dati di 5 byteL’attaccante invia un payload di dati di 5 byte
falsificando la lunghezza del pacchettofalsificando la lunghezza del pacchetto
a 65535 bytesa 65535 bytes
Il server risponde inviando 65535 bytes di dati (invece che soli 5 bytes)
In questo modo, l’attaccante riceve dei dati che stanno in un area di memoria
contigua alla sua precedente richiesta. Questi dati sono dati sensibili.

6. 6
LibreOffice Productivity Suite
Recupero User/Password
Virtualizzazione in locale di un server web
vulnerabilie ad Heartbleed
● Creazione Pagina di Login di prova
(da notare che è in https!)
● Sfruttamento della vulnerabilità
recuperando (nel computer dell’attaccante)
le credenziali “admin” “admin”inserite nella
pagina di prova.

7. 7
LibreOffice Productivity Suite
Recupero Private Key del Server

8. 8
LibreOffice Productivity Suite
In conclusione
● Aggiornare alla più recente versione di OpenSSL. (>=1.0.1g)
● Revoca dei certificati e delle chiavi.
La 1 e la 2 devono essere applicate contemporaneamente.
Gli attaccanti non lasciano traccia nei log di sistema. Questo vuol dire che si può solo
dare una stima dei danni.

9. 9
LibreOffice Productivity Suite
All text and image content in this document is licensed under the Creative Commons Attribution-Share Alike 3.0 License
(unless otherwise specified). "LibreOffice" and "The Document Foundation" are registered trademarks. Their respective logos
and icons are subject to international copyright laws. The use of these therefore is subject to the trademark policy.
Grazie, spero di non avervi dissanguato.