Ogroman bug u OpenSSL-u predstavlja rizik od Interneta

Oglas

Ako ste jedan od onih ljudi koji su oduvijek vjerovali da je kriptografija otvorenog koda najsigurniji način za komuniciranje putem interneta, čeka vas neko iznenađenje.

Ovog je tjedna Neel Mehta, član Googleovog sigurnosnog tima, obavijestio razvojni tim na OpenSSL da eksploatacija postoji s OpenSSL-ovom značajkom "srca". Google je otkrio bugu radeći sa zaštitarskom firmom Codenomicon kako bi pokušao hakirati vlastite poslužitelje. Nakon Googleove obavijesti, 7. travnja tim OpenSSL-a objavio je svoje Sigurnosno savjetovanje zajedno sa zakrpom za hitne slučajeve.

Bug je već dobio nadimak "Heartbleed" sigurnosnih analitičara Stručnjak za sigurnost Bruce Schneier o lozinkama, privatnosti i povjerenjuSaznajte više o sigurnosti i privatnosti u našem intervjuu sa sigurnosnim stručnjakom Bruceom Schneierom. Čitaj više , jer koristi OpenSSL-ovu značajku "otkucaja srca" da bi izigrao sustav koji pokreće OpenSSL u otkrivanju osjetljivih podataka koji se mogu pohraniti u sistemsku memoriju. Iako velik dio pohranjenih podataka u memoriji hakeri možda nema veliku vrijednost, dragulj bi hvatao same tipke koje sustav koristi

šifriranje komunikacija 5 načina za sigurno šifriranje datoteka u oblakuVaše datoteke mogu biti šifrirane u prijevozu i na poslužiteljima davatelja usluga oblaka, ali ih tvrtka za pohranjivanje u oblaku može dešifrirati - i svatko tko dobije pristup vašem računu može ih pregledati. Client-side ... Čitaj više .

Nakon što se dobiju ključevi, hakeri mogu zatim dešifrirati komunikaciju i uhvatiti osjetljive podatke poput lozinki, brojeva kreditne kartice i još mnogo toga. Jedini zahtjev za pribavljanje tih osjetljivih tipki je konzumiranje šifriranih podataka s poslužitelja dovoljno dugo da se mogu snimiti ključevi. Napad se ne može prepoznati i ne može se pratiti.

Greška otkucaja srca OpenSSL-a

Posledice ove manjkavosti sigurnosti ogromne su. OpenSSL je prvi put osnovan u prosincu 2011, i brzo je postao kriptografska knjižnica koja se koristi od strane tvrtki i organizacija širom Interneta za šifriranje osjetljivih informacija i komunikacija. Na šifriranju pomoću Apache web poslužitelja izgrađeno je gotovo polovica svih web stranica na Internetu.

Prema timu OpenSSL-a, sigurnosna rupa dolazi zbog softverske greške.

„Provjera granice koja nedostaje u rukovanju TLS ekstenzijom otkucaja srca može se koristiti za otkrivanje do 64k memorije povezanom klijentu ili poslužitelju. Samo 1.0.1 i 1.0.2-beta izdanja OpenSSL-a utječu, uključujući 1.0.1f i ​​1.0.2-beta1. "

Ne ostavljajući nikakav trag u zapisnicima poslužitelja, hakeri bi mogli iskoristiti tu slabost da bi dobili neke šifrirane podatke najosjetljiviji poslužitelji na Internetu, kao što su web poslužitelji banaka, poslužitelji tvrtki za kreditne kartice, web stranice za plaćanje računa i više.

Vjerojatnost da su hakeri dobili tajne ključeve i dalje je dovedena u pitanje, jer je Adam Langley, Googleov stručnjak za sigurnost, objavio na njegov stream na Twitteru da njegovo vlastito testiranje nije pokazalo ništa osjetljivo kao tajni ključevi za enkripciju.

Svoje sigurnosno savjetovanje 7. travnja, tim OpenSSL-a preporučio je hitnu nadogradnju i alternativno rješenje za administratore poslužitelja koji ne mogu nadograditi.

„Pogođeni korisnici trebali bi nadograditi na OpenSSL 1.0.1g. Korisnici koji ne mogu odmah nadograditi mogu alternativno kopirati OpenSSL sa -DOPENSSL_NO_HEARTBEATS. 1.0.2 će se popraviti u 1.0.2-beta2. "

Zbog širenja OpenSSL-a na Internetu tijekom posljednje dvije godine, vjerojatnost da će Googleova najava dovesti do nadolazećih napada prilično je velika. Međutim, utjecaj tih napada može ublažiti što veći broj administratora poslužitelja i menadžera sigurnosti nadograđujući svoje sustave poduzeća na OpenSSL 1.0.1g što je prije moguće.

Izvor: OpenSSL