Reklāma
Ja esat viens no tiem cilvēkiem, kurš vienmēr ir uzskatījis, ka drošākais saziņa tiešsaistē ir atvērtā koda kriptogrāfija, jūs esat pārsteigts.
Šonedēļ Google drošības komandas loceklis Neels Mehta informēja attīstības komandu vietnē OpenSSL ka OpenSSL funkcijai “sirdsdarbība” ir pielietojums. Google atklāja kļūdu, sadarbojoties ar drošības firmu Codenomicon, lai mēģinātu uzlauzt savus serverus. Pēc Google paziņojuma 7. aprīlī OpenSSL komanda izlaida savējos Drošības konsultācijas kopā ar ārkārtas plāksteri kļūdai.
Kļūdai jau ir piešķirts segvārds “Heartbleed” sniedza drošības analītiķi Drošības eksperts Brūss Šneiers parolēs, privātumā un uzticībāUzziniet vairāk par drošību un privātumu mūsu intervijā ar drošības ekspertu Bruce Schneier. Lasīt vairāk , jo tas izmanto OpenSSL “sirdsdarbības” funkciju, lai pievilinātu sistēmu, kurā darbojas OpenSSL, atklājot sensitīvu informāciju, kas var tikt glabāta sistēmas atmiņā. Kaut arī lielai daļai atmiņā glabātās informācijas hakeriem nav lielas vērtības, dārgakmens uztver tās atslēgas, kuras sistēma izmanto, lai
šifrēt sakarus 5 veidi, kā droši šifrēt failus mākonīIespējams, ka jūsu faili tiek šifrēti tranzītā un mākoņpakalpojumu sniedzēja serveros, taču mākoņu krātuves uzņēmums tos var atšifrēt - un failus var apskatīt ikviens, kurš piekļūst jūsu kontam. Klienta puse ... Lasīt vairāk .Kad atslēgas ir iegūtas, hakeri var atšifrēt sakarus un tvert sensitīvu informāciju, piemēram, paroles, kredītkaršu numurus un citu. Vienīgā prasība iegūt šīs sensitīvās atslēgas ir patērēt šifrētus datus no servera pietiekami ilgi, lai tvertu atslēgas. Uzbrukums nav nosakāms un nav izsekojams.
OpenSSL sirdsdarbības kļūda
Šīs drošības nepilnības ir milzīgas. OpenSSL pirmo reizi tika izveidots 2011. gada decembrī, un tas ātri kļuva par izmantoto kriptogrāfijas bibliotēku uzņēmumi un organizācijas visā internetā, lai šifrētu slepenu informāciju un sakari. Tā ir šifrēšana, ko izmanto Apache tīmekļa serveris, uz kura balstās gandrīz puse no visām interneta vietnēm.
Pēc OpenSSL komandas teiktā, drošības caurums rodas programmatūras trūkuma dēļ.
“Trūkstošu robežu pārbaudi TLS sirdsdarbības paplašinājuma apstrādē var izmantot, lai pievienotajam klientam vai serverim atrastu līdz 64 KB atmiņas. Tiek ietekmētas tikai OpenSSL 1.0.1 un 1.0.2 beta versijas, ieskaitot 1.0.1f un 1.0.2-beta1. ”
Neatstājot nekādas pēdas servera žurnālos, hakeri varētu izmantot šo nepilnību, lai iegūtu šifrētus datus no dažiem visjutīgākie serveri internetā, piemēram, banku tīmekļa serveri, kredītkaršu firmu serveri, rēķinu apmaksas vietnes un vairāk.
Tomēr joprojām tiek apšaubīta varbūtība, ka hakeri iegūs slepenās atslēgas, jo Ādams Langlijs, Google drošības eksperts, nosūtīja uz viņa Twitter straumē ka viņa paša pārbaude neizrādīja neko tik sensitīvu kā slepenas šifrēšanas atslēgas.
Tā kā drošības konsultants 7. aprīlī, OpenSSL komanda ieteica tūlītēju jaunināšanu un alternatīvu labojumu serveru administratoriem, kuri nevar jaunināt.
“Ietekmētie lietotāji ir jājaunina uz OpenSSL 1.0.1g. Lietotāji, kuri nevar uzreiz jaunināt, var alternatīvi pārkompilēt OpenSSL ar -DOPENSSL_NO_HEARTBEATS. 1.0.2 tiks fiksēts 1.0.2-beta2 versijā. ”
Sakarā ar to, ka pēdējos divos gados visā pasaulē ir izplatījies OpenSSL, Google paziņojuma iespējamība izraisīt gaidāmus uzbrukumus ir diezgan augsta. Tomēr šo uzbrukumu ietekmi var mazināt tik daudz serveru administratoru un drošības vadītāju, kuri pēc iespējas ātrāk jaunina savu uzņēmumu sistēmas uz OpenSSL 1.0.1g.
Avots: OpenSSL
Ryanam ir bakalaura grāds elektrotehnikā. Viņš ir strādājis 13 gadus automatizācijas inženierijā, 5 gadus IT jomā un tagad ir Apps Engineer. Bijušais MakeUseOf galvenais redaktors, viņš uzstājās nacionālajās datu vizualizācijas konferencēs un tiek demonstrēts nacionālajā televīzijā un radio.
