Creuser à travers le battage médiatique: Heartbleed a-t-il réellement blessé quelqu'un?

Publicité

Publicité
Publicité

Le bug Heartbleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Read More a fait l'objet de nombreuses critiques à la main et a été appelé l'une des plus graves failles de sécurité informatique de tous les temps. Un bogue massif dans OpenSSL met beaucoup d'Internet en danger Un bogue massif dans OpenSSL met une grande partie de l'Internet en danger Si vous êtes Une de ces personnes qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous allez être surpris. Lire la suite . Mais certaines personnes ne sont pas convaincues - après tout, qui a réellement fait du mal à Heartbleed? Eh bien, il y a eu plusieurs attaques de Heartbleed qui ont été utilisées pour faire du mal réel. Si vous pensez que Heartbleed est tout le battage médiatique, détrompez-vous.

900 NAS volés à l'Agence du revenu du Canada

Au Canada, un attaquant a utilisé la punaise Heartbleed contre l'Agence du revenu du Canada, capturant environ 900 numéros d'assurance sociale (NAS) appartenant à des personnes qui ont produit leur déclaration de revenus. C'est essentiellement l'équivalent canadien d'un attaquant qui saisit les numéros de sécurité sociale (SSN) de l'IRS aux États-Unis. Certaines données relatives aux entreprises canadiennes ont également été volées.

L'agresseur a été arrêté pour avoir capturé ces numéros, mais nous ne savons pas si l'agresseur a vendu les numéros d'assurance sociale ou les a transmis à quelqu'un d'autre. Comme les numéros de sécurité sociale aux États-Unis, ces chiffres ne sont généralement pas modifiables - ils ne peuvent être modifiés que si vous prouvez que vous avez été victime de fraude. Les contribuables touchés devront s'abonner à un service de surveillance du crédit et garder la trace des personnes qui tentent d'ouvrir des comptes bancaires et des cartes de crédit en leur nom. Vol d'identité 6 Signes avant-coureurs du vol d'identité numérique Vous ne devriez pas ignorer 6 Signes avant-coureurs du vol d'identité numérique Vous ne devriez pas ignorer L'usurpation d'identité n'est pas trop rare ces jours-ci, mais nous tombons souvent dans le piège arrivera toujours à "quelqu'un d'autre". N'ignorez pas les signes avant-coureurs. Lire la suite est une préoccupation sérieuse ici.

heartbleed

Mumsnet et autres vols de mots de passe

Mumsnet a récemment annoncé qu'il forçait tous les utilisateurs à changer leurs mots de passe. Ce n'était pas seulement une mesure préventive - Mumsnet avait des raisons de croire que les attaquants avaient eu accès aux mots de passe et aux messages privés appartenant à jusqu'à 1, 5 million d'utilisateurs.

Ce n'est probablement pas le seul site Web qui a eu des mots de passe sensibles volés. Si les gens font la grosse erreur de réutiliser le même mot de passe sur plusieurs sites Web, un attaquant peut entrer dans d'autres comptes. Par exemple, si quelqu'un utilise le même mot de passe pour son compte Mumsnet et le compte de messagerie associé à son compte Mumsnet, l'attaquant peut accéder à ce compte de messagerie. De là, l'attaquant peut réinitialiser d'autres mots de passe et entrer dans d'autres comptes

Si vous avez reçu un e-mail d'un service vous conseillant de modifier votre mot de passe et de vous assurer que vous n'utilisez pas le même mot de passe ailleurs, il est possible que le mot de passe ait été volé ou que son mot de passe ait été volé.

mumsnet-heartbleed-password-reset

VPN piratage et vols de clés privées

La société de sécurité Mandiant a annoncé que les attaquants utilisaient Heartbleed pour violer un VPN interne d'entreprise, ou un réseau privé virtuel, appartenant à l'un de leurs clients. Le VPN utilisait l'authentification multifactorielle Qu'est-ce que l'authentification à deux facteurs? Pourquoi l'utiliser? Qu'est-ce que l'authentification à deux facteurs? Pourquoi l'utiliser? L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux méthodes différentes votre identité Il est couramment utilisé dans la vie quotidienne. Par exemple payer avec une carte de crédit ne nécessite pas seulement la carte, ... Lire la suite, mais cela n'a pas d'importance - - l'attaquant était capable de voler des clés de cryptage privées d'une appliance VPN avec l'attaque Heartbleed et était alors capable de pirater activer les sessions VPN.

Nous ne savons pas quelle entreprise a été attaquée ici - Mandiant vient d'annoncer qu'il s'agissait d'une «grande entreprise». Des attaques comme celle-ci pourraient être utilisées pour voler des données d'entreprise sensibles ou infecter des réseaux d'entreprise internes. Si les entreprises ne s'assurent pas que leurs réseaux ne sont pas vulnérables à Heartbleed, leur sécurité peut facilement être contournée.

La seule raison que nous entendons à ce sujet est que Mandiant veut encourager les gens à sécuriser leurs serveurs VPN. Nous ne savons pas quelle entreprise a été attaquée ici parce que les entreprises ne veulent pas annoncer qu'elles ont été compromises.

Ce n'est pas le seul cas confirmé de Heartbleed utilisé pour voler une clé de chiffrement privée à partir de la mémoire d'un serveur en cours d'exécution. CloudFlare a douté que Heartbleed puisse être utilisé pour voler des clés de cryptage privées et a lancé un défi - essayez d'obtenir la clé de cryptage privée de notre serveur si vous le pouvez. Plusieurs personnes ont obtenu la clé privée en une seule journée.

vpn router

Agences de surveillance d'État

Controversée, la punaise Heartbleed aurait pu être découverte et exploitée par les agences de surveillance et de renseignement de l'État avant qu'elle ne soit rendue publique. Bloomberg a rapporté que la NSA a exploité Heartbleed pendant au moins deux ans. La NSA et la Maison Blanche ont nié cela, mais le directeur du renseignement national James Clapper a déclaré que la NSA n'avait collecté aucune donnée sur des millions d'Américains avant que les activités de surveillance de la NSA ne soient connues. Tout ce que vous devez savoir Qu'est-ce que PRISM? Tout ce que vous devez savoir La National Security Agency aux États-Unis a accès à toutes les données que vous stockez avec des fournisseurs de services américains tels que Google Microsoft, Yahoo et Facebook. Ils sont également susceptibles de surveiller la plupart du trafic circulant à travers le ... Lire la suite. Nous savons également que la NSA stocke les vulnérabilités de sécurité contre les cibles de surveillance plutôt que de les signaler afin qu'elles puissent être réparées.

La NSA mise à part, il existe d'autres agences de surveillance d'état dans le monde. Il est possible que l'agence de surveillance d'un autre pays ait découvert ce bug et l'utilisait contre des cibles de surveillance, peut-être même des sociétés basées aux Etats-Unis et des agences gouvernementales. Nous ne pouvons rien savoir de certain ici, mais il est très possible que Heartbleed ait été utilisé pour des activités d'espionnage avant qu'il ne soit divulgué publiquement - il sera certainement utilisé à ces fins maintenant qu'il est de notoriété publique!

Nous ne savons tout simplement pas

Nous ne savons tout simplement pas combien de dégâts ont été faits par Heartbleed. Les entreprises qui se retrouvent avec des violations grâce à Heartbleed voudront souvent éviter de faire des annonces embarrassantes qui pourraient nuire à leurs affaires ou endommager leurs cours boursiers. Il est généralement plus facile de traiter le problème en interne plutôt que de le faire savoir au monde entier.

Dans de nombreux autres cas, les services ne sauront pas qu'ils ont été mordus par Heartbleed. Grâce au type de demande utilisé par la vulnérabilité Heartbleed, les attaques Heartbleed n'apparaîtront pas dans de nombreux journaux de serveur. Il apparaîtra toujours dans les journaux de trafic réseau si vous savez ce qu'il faut rechercher, mais toutes les organisations ne savent pas quoi chercher.

Il est également possible que le bug Heartbleed ait été exploité dans le passé, avant qu'il ne devienne public. Il est possible que des cybercriminels ou - plus probablement - des agences de surveillance de l'État aient découvert le bogue et l'aient utilisé. Les exemples ici ne sont qu'un aperçu des quelques choses que nous connaissons.

Le battage médiatique est justifié - il est important de mettre à jour les services et les appareils le plus rapidement possible afin de réduire les dommages et d'éviter les pires attaques à l'avenir.

Crédit d'image: snoopsmas sur Flickr, ChrisDag sur Flickr

In this article