sexta-feira, 25 de abril de 2014

Como detectar o Heartbleed usando o RSA Netwitness / RSA Security Analytics?


Luiz Henrique Borges*


O que é o Heartbleed? 

O Heartbleed é uma grave vulnerabilidade encontrada em implementações específicas do OpenSSL em servidores, VPNs e outras aplicações. Para detalhes completos desta vulnerabilidade, visite http://heartbleed.com.

Como a RSA localiza instâncias do Heartbleed? 

O RSA NetWitness/RSA Security Analytics entrega aos usuários a habilidade de identificar servidores vulneráveis ao Heartbleed, bem como detecta tentativas de exploração da falha. Esse é o perfeito exemplo de um tipo de investigação de incidente e forense que pode ser alcançado utilizando os módulos de captura de pacote da solução RSA NetWitness/RSA Security Analytics.

Quais regras e analisadores devo utilizar? 

Analisadores (parsers) estão sendo criados e disponibilizados por meio do RSA Live na categoria denominada Heartbleed. Os analisadores específicos são “TLS” e “TLS_lua”. Usuários que já assinavam estes analisadores receberam automaticamente as devidas atualizações. Para clientes executando versões do RSA NetWitness/RSA Security Analytics 10.2 ou inferior, é preciso utilizar o Flex Parser “TLS”. Aqueles que executam versões superiores devem utilizar o LUA Parser “TLS_LUA”.

Para detectar vulnerabilidades nos servidores, VPNs e outras aplicações, olhe para informações de “openssl vulnerable to heartbleed” no metadado risk.informational. Para detectar tentativas de exploração, olhe para informações de “heartbleed data leak” no metadado risk.warning.

Exemplo:


Uma vez detectado, como posso remediar o problema? 

Para completar a remediação desta vulnerabilidade, atualize o sistema comprometido com a versão segura do OpenSSL e revogue as antigas chaves. Renove seu certificado SSL e altere as senhas das contas mais sensíveis.

Referências: 
https://knowledge.rsasecurity.com/scolcms/set.aspx?id=10187
http://heartbleed.com

*Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista na solução RSA Security Analytics, possui as seguintes certificações: RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.