Publicitate

Dacă sunteți unul dintre acei oameni care au crezut întotdeauna că criptografia open source este cea mai sigură modalitate de a comunica online, sunteți într-o surpriză.

În această săptămână, Neel Mehta, membru al echipei de securitate Google, a informat echipa de dezvoltare la OpenSSL că există o exploatare cu funcția „bătăi de inimă” a OpenSSL. Google a descoperit eroarea când a lucrat cu firma de securitate Codenomicon pentru a încerca să-și pirateze propriile servere. În urma notificării Google, pe 7 aprilie, echipa OpenSSL și-a lansat propriile Recomandări de securitate împreună cu un plasture de urgență pentru eroare.

Bug-ul a primit deja porecla „Heartbleed” de către analiștii de securitate Expert de securitate Bruce Schneier privind parolele, confidențialitatea și încredereaAflați mai multe despre securitate și confidențialitate în interviul nostru cu expertul în securitate Bruce Schneier. Citeste mai mult , deoarece folosește funcția „bătăi de inimă” a OpenSSL pentru a păcăli un sistem care rulează OpenSSL să dezvăluie informații sensibile care pot fi stocate în memoria sistemului. În timp ce o mare parte din informațiile stocate în memorie ar putea să nu aibă prea multă valoare pentru hackeri, bijuteria ar fi captarea tocmai cheile pe care le folosește sistemul

instagram viewer
criptați comunicațiile 5 modalități de a vă cripta în siguranță fișierele în cloudEste posibil ca fișierele dvs. să fie criptate în tranzit și pe serverele furnizorului de cloud, dar compania de stocare în cloud le poate decripta - și oricine are acces la contul dvs. poate vizualiza fișierele. Client-side ... Citeste mai mult .

Odată ce cheile sunt obținute, hackerii pot apoi să decripteze comunicațiile și să capteze informații sensibile precum parole, numere de carduri de credit și multe altele. Singura cerință pentru a obține acele taste sensibile este consumarea datelor criptate de pe server suficient de mult pentru a capta cheile. Atacul este nedetectabil și indesizabil.

Bugul de bătăi inimii OpenSSL

Ramificările din acest defect de securitate sunt uriașe. OpenSSL a fost înființat pentru prima dată în decembrie 2011 și a devenit rapid o bibliotecă criptografică folosită de către companii și organizații de pe Internet pentru a cripta informații sensibile și comunicații. Este criptarea utilizată de serverul web Apache, pe care aproape jumătate din toate site-urile de pe Internet sunt construite.

Potrivit echipei OpenSSL, gaura de securitate provine dintr-un defect software.

„O verificare a limitelor lipsă în gestionarea extensiei de bătăi inimii TLS poate fi folosită pentru a dezvălui până la 64 k de memorie unui client sau server conectat. Doar versiunile 1.0.1 și 1.0.2-beta ale OpenSSL sunt afectate, inclusiv 1.0.1f și 1.0.2-beta1. "

mouse-ul și-cheie
Fără a lăsa nicio urmă pe jurnalele serverului, hackerii ar putea exploata această slăbiciune pentru a obține date criptate de la unele din cele mai sensibile servere de pe Internet, cum ar fi serverele web bancare, serverele companiilor de carduri de credit, site-urile de plată a facturilor și Mai Mult.

Probabilitatea ca hackerii să obțină cheile secrete rămâne în discuție, deoarece Adam Langley, un expert în securitate Google, a postat fluxul lui de Twitter că testarea sa nu a reușit să creeze nimic atât de sensibil ca tastele de criptare secrete.

Avizul de securitate din 7 aprilie, echipa OpenSSL a recomandat o actualizare imediată și o soluție alternativă pentru administratorii serverului care nu pot face upgrade.

„Utilizatorii afectați ar trebui să treacă la OpenSSL 1.0.1g. Utilizatorii care nu pot actualiza imediat pot recompila în mod alternativ OpenSSL cu -DOPENSSL_NO_HEARTBEATS. 1.0.2 va fi stabilit în 1.0.2-beta2. "

Datorită proliferării OpenSSL pe internet în ultimii doi ani, probabilitatea anunțului Google care să conducă la atacuri iminente este destul de mare. Cu toate acestea, impactul acelor atacuri poate fi atenuat de cât mai mulți administratori de server și manageri de securitate care își modernizează sistemele companiei la OpenSSL 1.0.1g cât mai curând posibil.

Sursă: OpenSSL

Ryan are o diplomă de licență în inginerie electrică. A lucrat 13 ani în domeniul ingineriei automatizării, 5 ani la IT, iar acum este inginer pentru aplicații. Fost redactor manager al MakeUseOf, a vorbit la conferințele naționale despre vizualizarea datelor și a fost prezentat la TV și radio naționale.