Array. Heartbleed, Ένας χρόνος μετά
Πριν από περίπου ένα χρόνο, η βιομηχανία της τεχνολογίας και οι πελάτες των εταιρειών που δραστηριοποιούνται στον χώρο ταρακουνήθηκαν από την αποκάλυψη μίας νέας και δυνητικά ιδιαίτερα σοβαρής ευπάθειας στο OpenSSL. Η ευπάθεια, που της δόθηκε η ονομασία Heartbleed ή αλλιώς CVE-2014-0160, επηρεάζει δημοφιλείς εκδόσεις του OpenSSL που δεν διαχειρίζονται σωστά τα πακέτα επέκτασης heartbeat. Αυτό έχει ως αποτέλεσμα να είναι εφικτή η μη εξουσιοδοτημένη αποκάλυψη ευαίσθητων πληροφοριών από την μνήμη servers ή clients μέσω πακέτων δεδομένων που ενεργοποιούν μια ευπάθεια buffer over-read, γνωστή και ως ευπάθεια Heartbleed.
Οι ελεγκτές διάθεσης / παράδοσης εφαρμογών και οι gateways ασφαλούς πρόσβασης της Array Networks, χρησιμοποιούν την ιδιόκτητη στοίβα SSL της Array και έτσι δεν επηρεάζονται από την ευπάθεια Heartbleed. Πολλά ανταγωνιστικά προϊόντα ωστόσο βασίζονται στο OpenSSL και οι αντίστοιχοι κατασκευαστές τους έκαναν αγώνα δρόμου για να εφαρμόσουν επιδιορθώσεις λογισμικού και να προστατεύσουν τους πελάτες τους.
Έχοντας πλήρη γνώση τώρα, κάτι που εξασφαλίστηκε με το πέρασμα ενός χρόνου από την ανακοίνωση του Heartbleed, τι έχει αλλάξει και τι μάθαμε;
- To Heartbleed δεν ήταν το πρώτο, ούτε το τελευταίο. Υπήρξαν πολλαπλές ανακοινώσεις για ευπάθειες στο OpenSSL πριν το Heartbleed, καθώς και κατά το τελευταίο έτος. Είχαμε ανακοινώσεις για Man-in-the-middle (CVE-2014-0224) και ClientHello (CVE-2015-0291) αλλά για μια ακόμη φορά, οι σειρές συσκευών SSL VPN και ADC (ελεγκτές διάθεσης εφαρμογών) της Array, AG Series και APV Series δεν ήταν ευάλωτες στις ευπάθειες εξαιτίας της ιδιόκτητης στοίβας SSL της εταιρείας. Για την ευπάθεια FREAK (CVE-2015-0204), μόνο ορισμένα από τα προϊόντα της Array επηρεάστηκαν (κάποιων ADCs και SSL VPNs που βρίσκονταν στο στάδιο end-of-sale καθώς και κάποιων λειτουργιών στους ελεγκτές βελτιστοποίησης WAN, aCelera). Για να αντιμετωπιστούν και να μετριαστούν αυτές οι ευπάθειες, έγιναν διαθέσιμες νέες εκδόσεις λογισμικού για τα προϊόντα αυτά που είναι διαθέσιμα στην ιστοσελίδα υποστήριξης της Array.
- Η ασφάλεια είναι νοοτροπία, δεν είναι χαρακτηριστικό. Για τo ίδιο το SSL/TLS, καθώς και άλλα στοιχεία στην δικτύωση διάθεσης εφαρμογών, υπήρξαν ανακοινώσεις για ευπάθειες το τελευταίο έτος. Παρόλα αυτά, ως εταιρεία SSL, η Array τρώει και αναπνέει ασφάλεια. Από την αρχή, υπήρξε φανατική υπέρμαχος της κατάργησης αχρείαστων χαρακτηριστικών και loopholes στο λογισμικό της για την βελτίωση τόσο της ασφάλειας όσο και της απόδοσης. Αυτή η νοοτροπία στην ασφάλεια απέδωσε τα αναμενόμενα με την ευπάθεια Bash (CVE-2014-6271 et al.) για παράδειγμα, επειδή οι σειρές Array APV και AG Series δεν είναι εκτεθειμένες στην ευπάθεια Bash για απομακρυσμένη πρόσβαση.
- Kάποιοι web και application servers εξακολουθούν να είναι ευάλωτοι στο Heartbleed. Η εταιρεία του κλάδου της ασφάλειας Venafi εξέδωσε πρόσφατα μία έκθεση, στην οποία διαπιστώνεται ότι από τον Απρίλιο του 2015, σχεδόν τα τρία τέταρτα των επιχειρήσεων Global 2000, έχουν συστήματα με δημόσιο προσανατολισμό που παραμένουν ευάλωτα. Ο κύριος λόγος που επικαλείται η έκθεση για αυτό, είναι η ελλιπής αποκατάσταση, συνήθως από την παράλειψη της αντικατάστασης των κλειδιών SSL και των πιστοποιητικών. Σημειώστε ότι η προσθήκη μίας συσκευής διάθεσης εφαρμογής που είναι Heartbleed-proof όπως ένα μοντέλο από την APV Series της Array, παρέχει πρόσθετο επίπεδο ασφάλειας, παρέχοντας παράλληλα εξισορρόπηση φόρτου (load balancing), εκφόρτωση SSL (SSL offloading) και άλλες λειτουργίες που βελτιώνουν την απόδοση των διακομιστών και των εφαρμογών.
- Η φύση των κακόβουλων επιθέσεων έχει αλλάξει. Κατά την χαραυγή του Internet, ως επί το πλείστον υπήρχαν παιδικά scripts και “αθώες” επιθέσεις. Τώρα όμως, έχουμε να κάνουμε με τεράστιες κακόβουλες επιθέσεις, από εγκληματικές οργανώσεις (ακόμα και από έθνη-κράτη) που έχουν στόχο την κλοπή προσωπικών οικονομικών και τραπεζικών δεδομένων και πληροφοριών, ευαίσθητων εταιρικών και κυβερνητικών πληροφοριών ή που έχουν στόχο ακόμα και την υποδομή ενός έθνους. Τα πάντα αφορούν στο χρήμα τώρα, ή στην πρόκληση πραγματικής ζημιάς, και το διακύβευμα είναι πολύ υψηλό.
Και ενώ το OpenSSL είναι ένας πιθανός φορέας των επιθέσεων, το Heartbleed και άλλες ευπάθειες στο OpenSSL δείχνουν μία νέα πραγματικότητα για τους επαγγελματίες στον τομέα IT: Θα πρέπει να παραμένουν πάντα προσεκτικοί, να είναι πάντα σε εγρήγορση και πάντα επιμελείς στην προστασία των δικτύων που διαχειρίζονται ενάντια στις κακόβουλες επιθέσεις.
Ας είμαστε προσεκτικοί.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο εδώ.