Lesley Fowler
0 
3082
670
Jeśli jesteś jedną z osób, które zawsze wierzyły, że kryptografia typu open source jest najbezpieczniejszym sposobem komunikacji online, czeka Cię niespodzianka.
W tym tygodniu Neel Mehta, członek zespołu bezpieczeństwa Google, poinformowała zespół programistów OpenSSL, że istnieje exploit wykorzystujący OpenSSL “bicie serca” cecha. Google wykryło błąd podczas współpracy z firmą ochroniarską Codenomicon w celu próby włamania się do własnych serwerów. Po otrzymaniu powiadomienia od Google 7 kwietnia zespół OpenSSL opublikował własny Poradnik bezpieczeństwa wraz z łatką awaryjną dla błędu.
Błąd otrzymał już pseudonim “Heartbleed” przez analityków bezpieczeństwa Ekspert ds. bezpieczeństwa Bruce Schneier ds. haseł, prywatności i zaufania Ekspert ds. bezpieczeństwa Bruce Schneier ds. haseł, prywatności i zaufania Dowiedz się więcej na temat bezpieczeństwa i prywatności w naszym wywiadzie z ekspertem ds. bezpieczeństwa Brucem Schneierem. , ponieważ wykorzystuje OpenSSL “bicie serca” funkcja, aby oszukać system z OpenSSL do ujawnienia poufnych informacji, które mogą być przechowywane w pamięci systemowej. Chociaż wiele informacji przechowywanych w pamięci może nie mieć dużej wartości dla hakerów, klejnot przechwytuje te same klucze, których system używa do szyfrowania komunikacji. 5 sposobów bezpiecznego szyfrowania plików w chmurze 5 sposobów bezpiecznego szyfrowania plików w Chmura Twoje pliki mogą być szyfrowane podczas przesyłania i na serwerach dostawcy chmury, ale firma zajmująca się przechowywaniem danych w chmurze może je odszyfrować - i każdy, kto uzyska dostęp do Twojego konta, może je wyświetlić. Strona klienta… .
Po uzyskaniu kluczy hakerzy mogą następnie odszyfrować komunikację i przechwycić poufne informacje, takie jak hasła, numery kart kredytowych i inne. Jedynym warunkiem uzyskania tych poufnych kluczy jest wykorzystanie zaszyfrowanych danych z serwera na tyle długo, aby przechwycić klucze. Atak jest niewykrywalny i niemożliwy do wykrycia.
Błąd pulsu OpenSSL
Konsekwencje tej luki w zabezpieczeniach są ogromne. OpenSSL został założony w grudniu 2011 roku i szybko stał się biblioteką kryptograficzną wykorzystywaną przez firmy i organizacje w całym Internecie do szyfrowania poufnych informacji i komunikacji. Jest to szyfrowanie wykorzystywane przez serwer WWW Apache, na którym zbudowana jest prawie połowa wszystkich stron internetowych.
Według zespołu OpenSSL dziura w zabezpieczeniach wynika z usterki oprogramowania.
“Sprawdzanie brakujących granic w obsłudze rozszerzenia pulsu TLS może być wykorzystane do ujawnienia do 64k pamięci podłączonemu klientowi lub serwerowi. Dotyczy to tylko wersji OpenSSL 1.0.1 i 1.0.2-beta, w tym 1.0.1f i 1.0.2-beta1.”
Bez pozostawiania jakichkolwiek śladów w dziennikach serwerów hakerzy mogą wykorzystać tę słabość, aby uzyskać zaszyfrowane dane z niektórych najbardziej wrażliwych serwerów w Internecie, takich jak serwery bankowe, serwery firm obsługujących karty kredytowe, witryny do płatności rachunków i inne.
Prawdopodobieństwo, że hakerzy uzyskają tajne klucze, pozostaje nadal wątpliwe, ponieważ Adam Langley, ekspert ds. Bezpieczeństwa Google, opublikował w swoim strumieniu na Twitterze, że jego własne testy nie wykazały niczego tak wrażliwego jak tajne klucze szyfrujące.
W swoim Poradniku bezpieczeństwa 7 kwietnia zespół OpenSSL zalecił natychmiastowe uaktualnienie i alternatywną poprawkę dla administratorów serwerów, którzy nie mogą uaktualnić.
“Dotknięci użytkownicy powinni dokonać aktualizacji do OpenSSL 1.0.1g. Użytkownicy, którzy nie mogą natychmiast dokonać aktualizacji, mogą alternatywnie przekompilować OpenSSL z opcją -DOPENSSL_NO_HEARTBEATS. 1.0.2 zostanie naprawiony w wersji 1.0.2-beta2.”
Ze względu na rozprzestrzenianie się OpenSSL w Internecie w ciągu ostatnich dwóch lat prawdopodobieństwo ogłoszenia Google prowadzącego do zbliżających się ataków jest dość wysokie. Jednak wpływ tych ataków może zostać złagodzony przez jak najwięcej administratorów serwerów i menedżerów bezpieczeństwa, którzy jak najszybciej aktualizują systemy firmowe do OpenSSL 1.0.1g.
Źródło: OpenSSL