Reklaam

Kui olete üks neist inimestest, kes on alati uskunud, et avatud lähtekoodiga krüptograafia on kõige turvalisem viis veebis suhelda, olete selle jaoks pisut üllatunud.

Sel nädalal teatas Google'i turbemeeskonna liige Neel Mehta arendusmeeskonnale aadressil OpenSSL et OpenSSL-i funktsiooni "südamelöök" abil on ärakasutamine olemas. Google avastas vea, kui tegi koostööd turvaettevõttega Codenomicon, et proovida häkkida tema enda servereid. Pärast Google'i teadet vabastas OpenSSLi meeskond 7. aprillil oma Turvanõustamine koos vea hädavajaliku plaastriga.

Veale on juba antud hüüdnimi “Heartbleed” turvaanalüütikute poolt Turbeekspert Bruce Schneier paroolide, privaatsuse ja usalduse kohtaLisateavet turvalisuse ja privaatsuse kohta saate meie intervjuust turbeeksperdi Bruce Schneier'ga. Loe rohkem , kuna see kasutab OpenSSL-i funktsiooni „südamelöök”, et petta OpenSSL-i käitavat süsteemi paljastama tundlikku teavet, mida võidakse süsteemimällu salvestada. Kuigi suur osa mällu salvestatud teabest ei pruugi häkkeritele palju väärtust anda, hõivaks pärl just neid võtmeid, mida süsteem kasutab

instagram viewer
krüpti kommunikatsioon 5 viisi failide turvaliseks krüptimiseks pilvesVõimalik, et teie failid on transiidil ja pilveteenuse pakkuja serverites krüptitud, kuid pilvesalvestuse ettevõte saab need dekrüpteerida - ja kõik, kes saavad juurdepääsu teie kontole, saavad faile vaadata. Kliendipoolne ... Loe rohkem .

Kui võtmed on saadud, saavad häkkerid seejärel kommunikatsiooni dekrüpteerida ja hõivata tundlikku teavet, näiteks paroole, krediitkaardinumbreid ja muud. Ainus nõue nende tundlike võtmete saamiseks on serverist krüptitud andmete tarbimine võtmete hõivamiseks piisavalt kaua. Rünnak on tuvastamatu ja jälitamatu.

OpenSSLi südamelöökide viga

Selle turvavea tagajärjed on tohutud. OpenSSL loodi esmakordselt 2011. aasta detsembris ja sellest sai kiiresti kasutatav krüptograafiateek Internetis olevad ettevõtted ja organisatsioonid tundliku teabe krüpteerimiseks ja side. See on Apache veebiserveri poolt kasutatav krüptimine, millele peaaegu pooled kõigist Interneti veebisaitidest on üles ehitatud.

OpenSSL-i meeskonna sõnul tuleneb turvaauk tarkvara puudusest.

„Puuduvate piiride kontrollimise abil TLS-i südamelöögilaiendi käitlemisel saab kasutada kuni 64k mälu kuvamist ühendatud kliendile või serverile. See mõjutab ainult OpenSSLi 1.0.1 ja 1.0.2 beetaversiooni, sealhulgas 1.0.1f ja 1.0.2-beeta1. "

hiire ja klahviga
Jätmata jälgi serverilogidesse, võiksid häkkerid seda nõrkust ära kasutada, et saada krüptitud andmeid mõnelt serverilt kõige tundlikumad serverid Internetis, näiteks pankade veebiserverid, krediitkaardiettevõtete serverid, arve maksmise veebisaidid ja rohkem.

Häkkerite salajaste võtmete hankimise tõenäosus jääb siiski küsitavaks, kuna Google'i turbeekspert Adam Langley postitas tema Twitteri voog et tema enda testimine ei osutunud nii tundlikuks kui salajased krüptimisvõtmed.

OpenSSLi meeskond soovitas oma turvanõuandena 7. aprillil viivitamatult uuendada ja serveri administraatoritele, kes ei saa uuendada, alternatiivse paranduse.

„Mõjutatud kasutajad peaksid minema üle versioonile OpenSSL 1.0.1g. Kasutajad, kes ei saa kohe värskendada, saavad OpenSSL-i teise versiooniga -DOPENSSL_NO_HEARTBEATS ümber kompileerida. 1.0.2 fikseeritakse versioonis 1.0.2-beeta2. ”

OpenSSL-i leviku tõttu Internetis viimase kahe aasta jooksul on tõenäoline, et Google'i teade eelseisvate rünnakute kohta on üsna suur. Kuid nende rünnakute mõju saab leevendada nii paljude serveri administraatorite ja turvajuhtide poolt, kes uuendavad oma ettevõtte süsteemid nii kiiresti kui võimalik OpenSSL 1.0.1g-ni.

Allikas: OpenSSL

Ryanil on bakalaureuse kraad elektrotehnika alal. Ta on töötanud 13 aastat automatiseerimise alal, 5 aastat IT alal ja on nüüd rakenduste insener. MakeUseOfi endine tegevtoimetaja, ta on rääkinud andmete visualiseerimise riiklikel konverentsidel ja teda on kajastatud üleriigilises televisioonis ja raadios.