Ogromny błąd w OpenSSL stanowi duże zagrożenie dla Internetu

Reklama

Jeśli jesteś jedną z osób, które zawsze wierzyły, że kryptografia typu open source jest najbezpieczniejszym sposobem komunikacji online, czeka Cię niespodzianka.

W tym tygodniu Neel Mehta, członek zespołu Google ds. Bezpieczeństwa, poinformowała zespół programistów pod adresem OpenSSL exploit istnieje dzięki funkcji „bicia serca” OpenSSL. Google wykryło błąd podczas współpracy z firmą ochroniarską Codenomicon w celu próby włamania się do własnych serwerów. Po powiadomieniu Google 7 kwietnia zespół OpenSSL wydał własny Poradnik bezpieczeństwa wraz z łatką awaryjną dla błędu.

Błąd otrzymał już pseudonim „Heartbleed” przez analityków bezpieczeństwa Ekspert ds. Bezpieczeństwa Bruce Schneier ds. Haseł, prywatności i zaufaniaDowiedz się więcej o bezpieczeństwie i prywatności w naszym wywiadzie z ekspertem ds. Bezpieczeństwa Bruce Schneier. Czytaj więcej , ponieważ wykorzystuje funkcję „bicia serca” OpenSSL, aby oszukać system z OpenSSL do ujawnienia poufnych informacji, które mogą być przechowywane w pamięci systemu. Podczas gdy wiele informacji przechowywanych w pamięci może nie mieć dużej wartości dla hakerów, klejnot przechwytuje te same klucze, których używa system

szyfrować komunikację 5 sposobów bezpiecznego szyfrowania plików w chmurzeTwoje pliki mogą być szyfrowane podczas przesyłania i na serwerach dostawcy usług w chmurze, ale firma zajmująca się przechowywaniem danych w chmurze może je odszyfrować - i każdy, kto uzyska dostęp do Twojego konta, może je wyświetlić. Strona klienta... Czytaj więcej .

Po uzyskaniu kluczy hakerzy mogą następnie odszyfrować komunikację i przechwycić poufne informacje, takie jak hasła, numery kart kredytowych i inne. Jedynym warunkiem uzyskania tych poufnych kluczy jest wykorzystanie zaszyfrowanych danych z serwera na tyle długo, aby przechwycić klucze. Atak jest niewykrywalny i niemożliwy do wykrycia.

Błąd pulsu OpenSSL

Konsekwencje tej luki w zabezpieczeniach są ogromne. OpenSSL został założony w grudniu 2011 roku i szybko stał się biblioteką kryptograficzną przez firmy i organizacje w całym Internecie w celu szyfrowania poufnych informacji i komunikacja Jest to szyfrowanie wykorzystywane przez serwer WWW Apache, na którym zbudowana jest prawie połowa wszystkich stron internetowych.

Według zespołu OpenSSL dziura w zabezpieczeniach wynika z usterki oprogramowania.

„Sprawdzanie brakujących granic w obsłudze rozszerzenia pulsu TLS może być wykorzystane do ujawnienia do 64k pamięci podłączonemu klientowi lub serwerowi. Dotyczy to tylko wersji OpenSSL 1.0.1 i 1.0.2-beta, w tym 1.0.1f i ​​1.0.2-beta1. ”

Bez pozostawiania jakichkolwiek śladów w logach serwera hakerzy mogą wykorzystać tę słabość, aby uzyskać zaszyfrowane dane z niektórych najbardziej wrażliwe serwery w Internecie, takie jak bankowe serwery internetowe, serwery firm obsługujących karty kredytowe, witryny do płatności rachunków i więcej.

Prawdopodobieństwo, że hakerzy uzyskają tajne klucze, pozostaje nadal wątpliwe, ponieważ Adam Langley, ekspert Google ds. Bezpieczeństwa, opublikował jego strumień na Twitterze że jego własne testy nie wykazały niczego tak wrażliwego jak tajne klucze szyfrujące.

W swoim Poradniku bezpieczeństwa 7 kwietnia zespół OpenSSL zalecił natychmiastową aktualizację i alternatywną poprawkę dla administratorów serwerów, którzy nie mogą dokonać aktualizacji.

„Dotknięci użytkownicy powinni dokonać aktualizacji do OpenSSL 1.0.1g. Użytkownicy, którzy nie mogą natychmiast dokonać aktualizacji, mogą alternatywnie ponownie skompilować OpenSSL z opcją -DOPENSSL_NO_HEARTBEATS. Wersja 1.0.2 zostanie naprawiona w wersji 1.0.2-beta2. ”

Ze względu na rozprzestrzenianie się OpenSSL w Internecie w ciągu ostatnich dwóch lat prawdopodobieństwo ogłoszenia Google prowadzącego do zbliżających się ataków jest dość wysokie. Jednak wpływ tych ataków może zostać złagodzony przez jak najwięcej administratorów serwerów i menedżerów ds. Bezpieczeństwa, którzy jak najszybciej aktualizują swoje systemy firmowe do OpenSSL 1.0.1g.

Źródło: OpenSSL