Dėl didžiulės „OpenSSL“ klaidos kyla pavojus internetui

Skelbimas

Jei esate iš tų žmonių, kurie visada manė, kad atvirojo kodo kriptografija yra pats saugiausias būdas bendrauti internete, esate šiek tiek nustebinti.

Šią savaitę Neelis Mehta, „Google“ saugos komandos narys, informavo kūrėjų komandą apsilankęs „OpenSSL“ kad egzistuoja išnaudojimas naudojant „OpenSSL“ „širdies plakimo“ funkciją. „Google“ aptiko klaidą dirbdama su saugos įmone „Codenomicon“, norėdama nulaužti savo serverius. Gavusi „Google“ pranešimą, balandžio 7 d. „OpenSSL“ komanda išleido savo Saugumo patarimai kartu su avariniu klaidos pataisymu.

Klaidai jau buvo suteiktas slapyvardis „Heartbleed“ pateikė saugumo analitikai Saugumo ekspertas Bruce'as Schneier'as apie slaptažodžius, privatumą ir pasitikėjimąSužinokite daugiau apie saugumą ir privatumą interviu su saugumo ekspertu Bruce'u Schneier'iu. Skaityti daugiau , nes ji naudoja „OpenSSL“ „širdies plakimo“ funkciją, kad apgautų „OpenSSL“ veikiančią sistemą, kad ji atskleistų neskelbtiną informaciją, kuri gali būti saugoma sistemos atmintyje. Nors didžioji dalis atmintyje saugomos informacijos gali neturėti didelės naudos įsilaužėliams, perlas užfiksuos tuos pačius raktus, kuriuos sistema naudoja

šifruoti ryšiai 5 būdai, kaip saugiai užšifruoti failus debesyjeJūsų failai gali būti užšifruoti tranzito metu ir „debesies“ teikėjo serveriuose, tačiau debesies saugyklos įmonė gali juos iššifruoti - failus gali peržiūrėti visi, turintys prieigą prie jūsų paskyros. Kliento pusės ... Skaityti daugiau .

Gavę raktus, įsilaužėliai gali iššifruoti ryšius ir užfiksuoti slaptą informaciją, pvz., Slaptažodžius, kreditinių kortelių numerius ir dar daugiau. Vienintelis reikalavimas gauti šiuos neskelbtinus raktus yra užšifruotų duomenų sunaudojimas iš serverio pakankamai ilgai, kad būtų galima užfiksuoti raktus. Puolimas yra neaptinkamas ir neatsekiamas.

„OpenSSL“ širdies plakimo klaida

Šios saugumo spragos pasekmės yra didžiulės. „OpenSSL“ pirmą kartą buvo įsteigta 2011 m. Gruodžio mėn. Ir greitai tapo naudota kriptografine biblioteka įmonės ir organizacijos visame internete, kad užšifruotų neskelbtiną informaciją ir komunikacijos. Tai yra „Apache“ žiniatinklio serverio naudojamas šifravimas, kurio pagrindu sukurta beveik pusė visų interneto svetainių.

Pasak „OpenSSL“ komandos, saugumo skylė atsiranda dėl programinės įrangos trūkumų.

„TLS širdies ritmo plėtinio tvarkymo metu trūkstamų ribų tikrinimas gali būti naudojamas aptikti iki 64k atminties prijungtam klientui ar serveriui. Įtakos turi tik „OpenSSL“ 1.0.1 ir 1.0.2 beta versijos, įskaitant 1.0.1f ir 1.0.2-beta1. “

Nepalikdami jokių pėdsakų serverių žurnaluose, įsilaužėliai galėtų išnaudoti šią silpnybę iš šifruotų duomenų iš kai kurių jautriausi serveriai internete, tokie kaip banko žiniatinklio serveriai, kreditinių kortelių įmonės serveriai, sąskaitų apmokėjimo svetainės ir daugiau.

Tačiau tikimybė, kad įsilaužėliai gaus slaptus raktus, išlieka abejotina, nes „Google“ saugumo ekspertas Adamas Langley paskelbė jo „Twitter“ sraute kad jo paties bandymai nepadarė nieko tokio jautraus kaip slapti šifravimo raktai.

„OpenSSL“ komanda, teikdama saugumo patarimus balandžio 7 d., Rekomendavo nedelsiant atnaujinti ir pataisyti serverių administratoriams, kurie negali atnaujinti.

„Paveikti vartotojai turėtų atnaujinti versiją į„ OpenSSL 1.0.1g “. Vartotojai, negalintys iš karto atnaujinti, gali papildomai kompiliuoti „OpenSSL“ su -DOPENSSL_NO_HEARTBEATS. 1.0.2 bus fiksuota 1.0.2-beta2 versijoje. “

Dėl „OpenSSL“ išplitimo visame internete per pastaruosius dvejus metus, „Google“ pranešimo, sukeliančio artėjančius išpuolius, tikimybė yra gana didelė. Tačiau kuo daugiau serverių administratorių ir saugos vadybininkų kuo greičiau atnaujina savo įmonių sistemas į „OpenSSL 1.0.1g“, šių atakų poveikį gali sumažinti.

Šaltinis: „OpenSSL“