Masívna chyba v OpenSSL kladie veľa internetu na riziko

Reklama

Ak ste jedným z tých ľudí, ktorí vždy verili, že kryptografia s otvoreným zdrojom je najbezpečnejším spôsobom komunikácie online, ste na chvíľu prekvapení.

Tento týždeň Neel Mehta, člen bezpečnostného tímu spoločnosti Google, informoval vývojový tím na adrese OpenSSL že existuje funkcia „srdcového rytmu“ OpenSSL. Google objavil chybu pri práci s bezpečnostnou firmou Codenomicon, aby sa pokúsil o hackovanie svojich vlastných serverov. Po oznámení spoločnosti Google 7. apríla tím OpenSSL vydal svoje vlastné Bezpečnostné poradenstvo spolu s núdzovou opravou chyby.

Chyba už dostala prezývku „Heartbleed“ analytici bezpečnosti Expert na bezpečnosť Bruce Schneier v oblasti hesiel, ochrany osobných údajov a dôveryViac informácií o bezpečnosti a ochrane osobných údajov nájdete v našom rozhovore s odborníkom na bezpečnosť Bruce Schneier. Čítaj viac , pretože využíva funkciu „srdcového rytmu“ OpenSSL na podvádzanie systému so systémom OpenSSL na odhalenie citlivých informácií, ktoré môžu byť uložené v systémovej pamäti. Zatiaľ čo väčšina informácií uložených v pamäti nemusí mať hackerom veľkú hodnotu, klenot by zachytil samotné kľúče, ktoré systém používa.

šifrovať komunikáciu 5 spôsobov, ako bezpečne šifrovať súbory v cloudeVaše súbory môžu byť šifrované počas prepravy a na serveroch poskytovateľa cloudu, ale spoločnosť cloudových úložísk ich môže dešifrovať - ​​súbory si môže zobraziť ktokoľvek, kto získa prístup k vášmu účtu. Na strane klienta ... Čítaj viac .

Po získaní kľúčov môžu hackeri dešifrovať komunikáciu a zachytiť citlivé informácie, ako sú heslá, čísla kreditných kariet a ďalšie. Jedinou požiadavkou na získanie týchto citlivých kľúčov je spotrebovať šifrované údaje zo servera dostatočne dlho na zachytenie kľúčov. Útok je nezistiteľný a nedá sa zistiť.

Chyba srdcového rytmu OpenSSL

Dôsledky tejto bezpečnostnej chyby sú obrovské. OpenSSL bola prvýkrát založená v decembri 2011 a rýchlo sa stala kryptografickou knižnicou - spoločnosťami a organizáciami po celom internete na šifrovanie citlivých informácií a - komunikácie. Je to šifrovanie využívané webovým serverom Apache, na ktorom je postavená takmer polovica všetkých webových stránok na internete.

Podľa tímu OpenSSL bezpečnostná diera pochádza zo softwarovej chyby.

„Kontrola chýbajúcich limitov pri spracovaní rozšírenia srdcového rytmu TLS sa môže použiť na odhalenie až 64 kB pamäte pripojenému klientovi alebo serveru. Ovplyvnené sú iba vydania 1.0.1 a 1.0.2-beta OpenSSL vrátane 1.0.1f a 1.0.2-beta1. “

Bez zanechania stopy na serverových protokoloch by hackeri mohli túto slabosť využiť na získanie šifrovaných údajov z niektorých serverov - najcitlivejšie servery na internete, ako sú webové bankové servery, servery spoločnosti vydávajúce kreditné karty, webové stránky na fakturáciu a - viac.

Pravdepodobnosť, že hackeri získajú tajné kľúče, je však stále otázna, pretože Adam Langley, odborník na bezpečnosť spoločnosti Google, bol vyslaný na adresu jeho stream na Twitteri že jeho vlastné testovanie neprinieslo nič také citlivé ako tajné šifrovacie kľúče.

Vo svojom bezpečnostnom odporúčaní 7. apríla tím OpenSSL odporučil okamžitú aktualizáciu a alternatívnu opravu pre správcov serverov, ktorí nemôžu upgradovať.

„Dotknutí používatelia by mali prejsť na OpenSSL 1.0.1g. Používatelia, ktorí nemôžu okamžite upgradovať, môžu alternatívne kombinovať OpenSSL s -DOPENSSL_NO_HEARTBEATS. 1.0.2 bude opravená v 1.0.2-beta2. “

Z dôvodu rozširovania OpenSSL na internete v posledných dvoch rokoch je pravdepodobnosť oznámenia spoločnosti Google, ktoré vedie k hroziacim útokom, pomerne vysoká. Dopad týchto útokov však môže zmierniť toľko správcov serverov a manažérov bezpečnosti, ktorí čo najskôr inovujú svoje podnikové systémy na OpenSSL 1.0.1g.

zdroj: OpenSSL