Mark Lucas
0 
4842
1488
Ako ste jedan od onih ljudi koji su oduvijek vjerovali da je kriptografija otvorenog koda najsigurniji način komuniciranja putem interneta, čeka vas neko iznenađenje.
Ovog je tjedna Neel Mehta, član Googleovog sigurnosnog tima, obavijestio razvojni tim na OpenSSL-u da postoji eksploatacija kod OpenSSL-ova “otkucaj srca” značajka. Google je otkrio bugu radeći sa zaštitarskom firmom Codenomicon kako bi pokušao hakirati vlastite poslužitelje. Nakon Googleove obavijesti, 7. travnja tim OpenSSL-a objavio je svoje sigurnosno savjetovanje zajedno s hitnom zakrpom za pogrešku.
Buba je već dobila nadimak “Heartbleed” sigurnosni analitičari Bruce Schneier, stručnjaci za sigurnost Bruce Schneier, stručnjaci za sigurnost Bruce Schneier o lozinkama, privatnosti i povjerenju Saznajte više o sigurnosti i privatnosti u našem razgovoru sa sigurnosnim stručnjakom Bruceom Schneierom. , jer koristi OpenSSL-ove “otkucaj srca” značajka za izigravanje sustava koji pokreće OpenSSL u otkrivanju osjetljivih podataka koji se mogu pohraniti u sistemsku memoriju. Iako veliki dio podataka pohranjenih u memoriji ne može imati veliku vrijednost za hakere, dragulj bi hvatao same ključeve koje sustav koristi za šifriranje komunikacije. 5 načina za sigurno šifriranje datoteka u oblaku 5 načina sigurnog kriptiranja datoteka u oblaku Cloud Vaše datoteke mogu biti šifrirane u tranzitu i na poslužiteljima davatelja usluga oblaka, ali ih tvrtka za pohranu oblaka može ih dešifrirati - i svatko tko dobije pristup vašem računu može pregledati datoteke. Client-side ... .
Nakon što se dobiju ključevi, hakeri mogu zatim dešifrirati komunikaciju i uhvatiti osjetljive podatke poput zaporki, brojeva kreditne kartice i još mnogo toga. Jedini zahtjev za pribavljanje tih osjetljivih tipki je konzumiranje šifriranih podataka s poslužitelja dovoljno dugo da se mogu snimiti ključevi. Napad se ne može prepoznati i ne može se pratiti.
Greška otkucaja srca OpenSSL-a
Posledice ovog nedostatka sigurnosti su ogromne. OpenSSL je prvi put osnovan u prosincu 2011. godine i brzo je postao kriptografska biblioteka koju tvrtke i organizacije širom Interneta koriste za šifriranje osjetljivih informacija i komunikacija. To je enkripcija koju koristi web-poslužitelj Apache, na čemu je izgrađena gotovo polovica svih web stranica na Internetu.
Prema OpenSSL timu, sigurnosna rupa dolazi zbog softverske greške.
“Provjera granice koja nedostaje u rukovanju TLS ekstenzijom otkucaja srca može se koristiti za otkrivanje do 64k memorije povezanom klijentu ili poslužitelju. Samo 1.0.1 i 1.0.2-beta izdanja OpenSSL-a utječu, uključujući 1.0.1f i 1.0.2-beta1.”
Ne ostavljajući nikakav trag u zapisnicima poslužitelja, hakeri bi mogli iskoristiti tu slabost za dobivanje šifriranih podataka s nekih najosjetljivijih poslužitelja na Internetu, poput web poslužitelja banaka, poslužitelja tvrtki za kreditne kartice, web stranica za plaćanje računa i još mnogo toga.
Vjerojatnost hakera da nabave tajne ključeve i dalje ostaje pod znakom pitanja, jer je Adam Langley, Googleov stručnjak za sigurnost, objavio na svom Twitter streamu da njegovo vlastito testiranje nije pojavilo ništa tako osjetljivo kao tajni ključevi za šifriranje.
Svoje sigurnosno savjetovanje 7. travnja, tim OpenSSL-a preporučio je hitnu nadogradnju i alternativno rješenje za administratore poslužitelja koji ne mogu nadograditi..
“Pogođeni korisnici trebali bi nadograditi na OpenSSL 1.0.1g. Korisnici koji ne mogu odmah nadograditi mogu alternativno kopirati OpenSSL sa -DOPENSSL_NO_HEARTBEATS. 1.0.2 će se popraviti u 1.0.2-beta2.”
Zbog širenja OpenSSL-a na Internetu tijekom posljednje dvije godine, vjerojatnost da će Googleova najava dovesti do nadolazećih napada prilično je velika. Međutim, utjecaj tih napada može ublažiti što veći broj administratora poslužitelja i menadžera sigurnosti nadograđujući svoje sustave kompanija na OpenSSL 1.0.1g što je prije moguće..
Izvor: OpenSSL