Notícias

25.04.2014 | admin

Como detectar o Heartbleed usando o RSA Netwitness / RSA Security Analytics?

Por Luiz Henrique Borges*

O que é o Heartbleed?

O Heartbleed é uma grave vulnerabilidade encontrada em implementações específicas do OpenSSL em servidores, VPNs e outras aplicações. Para detalhes completos desta vulnerabilidade, visite http://heartbleed.com.

Como a RSA localiza instâncias do Heartbleed?

O RSA NetWitness/RSA Security Analytics entrega aos usuários a habilidade de identificar servidores vulneráveis ao Heartbleed, bem como detecta tentativas de exploração da falha. Esse é o perfeito exemplo de um tipo de investigação de incidente e forense que pode ser alcançado utilizando os módulos de captura de pacote da solução RSA NetWitness/RSA Security Analytics.

Quais regras e analisadores devo utilizar?

Analisadores (parsers) estão sendo criados e disponibilizados por meio do RSA Live na categoria denominada Heartbleed. Os analisadores específicos são “TLS” e “TLS_lua”. Usuários que já assinavam estes analisadores receberam automaticamente as devidas atualizações. Para clientes executando versões do RSA NetWitness/RSA Security Analytics 10.2 ou inferior, é preciso utilizar o Flex Parser “TLS”. Aqueles que executam versões superiores devem utilizar o LUA Parser “TLS_LUA”.

Para detectar vulnerabilidades nos servidores, VPNs e outras aplicações, olhe para informações de “openssl vulnerable to heartbleed” no metadado risk.informational. Para detectar tentativas de exploração, olhe para informações de “heartbleed data leak” no metadado risk.warning.

Exemplo:

Uma vez detectado, como posso remediar o problema?

Para completar a remediação desta vulnerabilidade, atualize o sistema comprometido com a versão segura do OpenSSL e revogue as antigas chaves. Renove seu certificado SSL e altere as senhas das contas mais sensíveis.

Referências:

https://knowledge.rsasecurity.com/scolcms/set.aspx?id=10187

http://heartbleed.com

*Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista na solução RSA Security Analytics, possui as seguintes certificações: RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653