Edmund Richardson
0 
2869
677
Hvis du er en af de mennesker, der altid har troet, at open source-kryptografi er den mest sikre måde at kommunikere online på, er du i en overraskelse.
Denne uge oplyste Neel Mehta, et medlem af Googles sikkerhedsteam, udviklingsholdet hos OpenSSL, at der findes en udnyttelse med OpenSSL's “hjerteslag” funktion. Google opdagede fejlen, da de samarbejdede med sikkerhedsfirmaet Codenomicon for at prøve at hacke sine egne servere. Efter Googles anmeldelse, 7. april frigav OpenSSL-teamet deres egen sikkerhedsrådgivning sammen med en nødopdatering til fejlen.
Fejlen har allerede fået kaldenavnet “heartbleed-bug” af sikkerhedsanalytikere Sikkerhedsekspert Bruce Schneier om adgangskoder, privatliv og tillid Sikkerhedsekspert Bruce Schneier på adgangskoder, privatliv og tillid Lær mere om sikkerhed og privatliv i vores interview med sikkerhedsekspert Bruce Schneier. , fordi det bruger OpenSSL'er “hjerteslag” funktion til at narre et system, der kører OpenSSL, til at afsløre følsomme oplysninger, der muligvis er gemt i systemhukommelsen. Mens meget af de oplysninger, der er gemt i hukommelsen muligvis ikke har meget værdi for hackere, vil perlen fange de nøgler, som systemet bruger til at kryptere kommunikation 5 måder til sikkert at kryptere dine filer i skyen 5 måder til sikkert at kryptere dine filer i Cloud Dine filer kan være krypteret i transit og på skyudbyderens servere, men skylagringsfirmaet kan dekryptere dem - og enhver, der får adgang til din konto, kan se filerne. Klient-side ... .
Når nøglerne er opnået, kan hackere derefter dekryptere kommunikation og fange følsomme oplysninger som adgangskoder, kreditkortnumre og mere. Det eneste krav for at få disse følsomme nøgler er at forbruge de krypterede data fra serveren længe nok til at fange nøglerne. Angrebet er ikke påviseligt og ikke sporbart.
OpenSSL Heartbeat Bug
Afgrænsningerne fra denne sikkerhedsfejl er enorme. OpenSSL blev først oprettet i december 2011, og det blev hurtigt et kryptografisk bibliotek, der blev brugt af virksomheder og organisationer overalt på internettet til at kryptere følsom information og kommunikation. Det er den kryptering, der bruges af Apache-webserveren, som næsten halvdelen af alle websteder på Internettet er bygget på.
Ifølge OpenSSL-teamet kommer sikkerhedshullet fra en softwarefejl.
“En manglende grænsekontrol i håndteringen af TLS-hjerteslagudvidelsen kan bruges til at afsløre op til 64 k hukommelse til en tilsluttet klient eller server. Kun 1.0.1 og 1.0.2-beta-frigivelser af OpenSSL er berørt, herunder 1.0.1f og 1.0.2-beta1.”
Uden at efterlade spor i serverlogfiler kunne hackere udnytte denne svaghed til at få krypterede data fra nogle af de mest følsomme servere på Internettet, såsom bankwebservere, kreditkortselskabsservere, websteder med betalingskonti og mere.
Sandsynligheden for, at hackere får de hemmelige nøgler, forbliver dog i tvivl om, fordi Adam Langley, en Google-sikkerhedsekspert, sendte til sin Twitter-strøm, at hans egen test ikke viste noget så følsomt som hemmelige krypteringsnøgler.
Det var sin sikkerhedsrådgivning den 7. april, OpenSSL-teamet anbefalede en øjeblikkelig opgradering og en alternativ løsning til serveradministratorer, der ikke kan opgradere.
“Berørte brugere skal opgradere til OpenSSL 1.0.1g. Brugere, der ikke kan opgradere straks, kan alternativt rekompilere OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 vil blive rettet i 1.0.2-beta2.”
På grund af spredningen af OpenSSL over hele Internettet i løbet af de sidste to år er sandsynligheden for, at Google-meddelelsen fører til forestående angreb, ret stor. Imidlertid kan virkningen af disse angreb mindskes af så mange serveradministratorer og sikkerhedsadministratorer, der opgraderer deres virksomhedssystemer til OpenSSL 1.0.1g så hurtigt som muligt.
Kilde: OpenSSL