Joseph Goodman
0 
4971
587
Pokud jste jedním z těch lidí, kteří vždy věřili, že kryptografie s otevřeným zdrojovým kódem je nejbezpečnějším způsobem komunikace online, jste na chvíli překvapení.
Tento týden Neel Mehta, člen bezpečnostního týmu Google, informoval vývojový tým v OpenSSL, že s OpenSSL existuje exploit “tlukot srdce” Vlastnosti. Google objevil chybu při práci s bezpečnostní firmou Codenomicon a pokusil se hacknout své vlastní servery. Po oznámení Google 7. dubna tým OpenSSL vydal své vlastní bezpečnostní doporučení spolu s nouzovou opravou chyby.
Chyba již dostala přezdívku “Heartbleed” bezpečnostní analytici Bezpečnostní odborník Bruce Schneier o heslech, ochraně osobních údajů a důvěře Odborník pro bezpečnost Bruce Schneier o heslech, ochraně osobních údajů a důvěře V našem rozhovoru s odborníkem na bezpečnost Bruce Schneierem se dozvíte více o bezpečnosti a soukromí. , protože využívá OpenSSL “tlukot srdce” funkce k podvádění systému se spuštěnou OpenSSL k odhalení citlivých informací, které mohou být uloženy v systémové paměti. Zatímco většina informací uložených v paměti nemusí mít hackerům velkou hodnotu, klenot by zachytil samotné klíče, které systém používá k šifrování komunikace. 5 způsobů, jak bezpečně šifrovat vaše soubory v cloudu 5 způsobů, jak bezpečně šifrovat vaše soubory v Cloud Vaše soubory mohou být šifrovány během přenosu a na serverech poskytovatele cloudu, ale cloudová společnost je může dešifrovat - soubory si může zobrazit kdokoli, kdo získá přístup k vašemu účtu. Na straně klienta ... .
Jakmile jsou klíče získány, mohou hackeři dešifrovat komunikaci a zachytit citlivé informace, jako jsou hesla, čísla kreditních karet a další. Jediným požadavkem k získání těchto citlivých klíčů je spotřebovat šifrovaná data ze serveru dostatečně dlouho na to, aby zachytily klíče. Útok je nezjistitelný a nevysledovatelný.
Chyba HeartSeat OpenSSL
Důsledky této bezpečnostní chyby jsou obrovské. OpenSSL byl poprvé založen v prosinci 2011 a rychle se stal kryptografickou knihovnou, kterou používají společnosti a organizace po celém internetu k šifrování citlivých informací a komunikace. Je to šifrování využívané webovým serverem Apache, na kterém je postavena téměř polovina všech webových stránek na internetu.
Podle týmu OpenSSL bezpečnostní díra pochází ze softwarové chyby.
“Chybějící kontrolu hranic při manipulaci s rozšířením prezenčního signálu TLS lze použít k odhalení až 64 kB paměti připojenému klientovi nebo serveru. Ovlivněny jsou pouze verze 1.0.1 a 1.0.2-beta OpenSSL, včetně 1.0.1f a 1.0.2-beta1.”
Bez zanechání stopy v protokolech serverů by hackeři mohli tuto slabost využít k získání šifrovaných dat z některých nejcitlivějších serverů na internetu, jako jsou webové servery banky, servery společnosti vydávající kreditní karty, webové stránky pro platby faktur a další.
Pravděpodobnost, že hackeři získají tajné klíče, však zůstává sporná, protože Adam Langley, odborník na bezpečnost Google, zveřejnil na svém Twitteru, že jeho vlastní testování nezjistilo nic tak citlivého jako tajné šifrovací klíče.
Ve svém bezpečnostním doporučení dne 7. dubna tým OpenSSL doporučil okamžitou aktualizaci a alternativní opravu pro správce serveru, kteří nemohou upgradovat.
“Dotčení uživatelé by měli upgradovat na OpenSSL 1.0.1g. Uživatelé, kteří nemohou okamžitě upgradovat, mohou alternativně zkompilovat OpenSSL s -DOPENSSL_NO_HEARTBEATS. 1.0.2 bude opraveno v 1.0.2-beta2.”
Vzhledem k šíření OpenSSL na internetu v posledních dvou letech je pravděpodobnost oznámení Google, které povede k hrozícím útokům, poměrně vysoká. Dopad těchto útoků však může být zmírněn tím, že co nejvíce správců serverů a správců zabezpečení upgraduje své podnikové systémy na OpenSSL 1.0.1g co nejdříve.
Zdroj: OpenSSL