Масивна грешка в OpenSSL поставя голяма част от интернет на риск

реклама

Ако сте един от онези хора, които винаги са вярвали, че криптографията с отворен код е най-сигурният начин за комуникация онлайн, ви предстои малко изненада.

Тази седмица Нил Мехта, член на екипа по сигурността на Google, уведоми екипа за разработка на OpenSSL че съществува експлоатация с функцията „сърцебиене“ на OpenSSL. Google откри грешката при работа с охранителна фирма Codenomicon, за да опита да хакне собствените си сървъри. След известието на Google, на 7 април екипът на OpenSSL пусна своя собствена Консултации по сигурността заедно с аварийна лепенка за бъга.

Грешката вече е получила прякора "Heartbleed" от анализатори за сигурност Експерт по сигурността Брус Шнайер относно паролите, поверителността и довериетоНаучете повече за сигурността и поверителността в нашето интервю с експерта по сигурността Брус Шнайер. Прочетете още , тъй като използва функцията „сърдечен пулс“ на OpenSSL, за да излъже система, работеща с OpenSSL, за разкриване на чувствителна информация, която може да се съхранява в системната памет. Въпреки че голяма част от информацията, съхранявана в паметта, може да няма голяма стойност за хакерите, скъпоценният камък ще заснеме самите ключове, които системата използва

криптиране на комуникациите 5 начина за безопасно криптиране на вашите файлове в облакаВашите файлове може да бъдат криптирани при транзит и на сървърите на доставчика на облачни услуги, но компанията за съхранение в облак може да ги дешифрира - и всеки, който получи достъп до вашия акаунт, може да преглежда файловете. От страна на клиента ... Прочетете още .

След като получат ключовете, хакерите могат след това да дешифрират комуникациите и да улавят чувствителна информация като пароли, номера на кредитни карти и други. Единственото изискване за получаване на тези чувствителни ключове е да се консумират криптирани данни от сървъра достатъчно дълго, за да могат да заснемат ключовете. Атаката е неоткриваема и непроследима.

Грешка в сърдечната дейност на OpenSSL

Последствията от този недостатък на сигурността са огромни. OpenSSL беше създаден за първи път през декември 2011 г. и бързо се превърна в използвана криптографска библиотека от компании и организации по целия Интернет, за да криптират чувствителна информация и комуникации. Това е криптирането, използвано от уеб сървъра Apache, върху което са изградени почти половината от всички уебсайтове в Интернет.

Според екипа на OpenSSL, дупката за сигурност идва от софтуерен недостатък.

„Проверка на липсващите граници при боравенето с разширението на сърдечния ритъм на TLS може да се използва за разкриване до 64 k памет на свързан клиент или сървър. Само 1.0.1 и 1.0.2-бета версии на OpenSSL са засегнати, включително 1.0.1f и 1.0.2-beta1. "

Без да оставят следи в сървърите, хакерите могат да използват тази слабост, за да получат криптирани данни от някои от най-чувствителните сървъри в Интернет, като банкови уеб сървъри, фирмени сървъри за кредитни карти, уебсайтове за плащане на сметки и Повече ▼.

Вероятността хакерите да получат секретните ключове остава под въпрос, защото Адам Лангли, експерт по сигурността на Google, публикува в неговият поток в Twitter че собственото му тестване не показа нищо толкова чувствително като тайни кодове за криптиране.

В своите Консултации по сигурността на 7 април екипът на OpenSSL препоръча незабавно надграждане и алтернативно решение за администраторите на сървъри, които не могат да надстроят.

„Засегнатите потребители трябва да надстроят до OpenSSL 1.0.1g. Потребителите, които не могат веднага да надстроят, могат да рекомпилират OpenSSL с -DOPENSSL_NO_HEARTBEATS. 1.0.2 ще бъде фиксиран в 1.0.2-beta2. "

Поради разпространението на OpenSSL в Интернет през последните две години, вероятността съобщението на Google да доведе до предстоящи атаки е доста голяма. Въздействието на тези атаки обаче може да бъде смекчено от колкото се може повече администратори на сървъри и мениджъри по сигурността, надстрояващи своите фирмени системи до OpenSSL 1.0.1g възможно най-бързо.

Източник: OpenSSL