Massiivinen virhe OpenSSL: ssä vaarantaa suuren osan Internetistä

Mainos

Jos olet yksi niistä ihmisistä, jotka ovat aina uskoneet, että avoimen lähdekoodin salaus on turvallisin tapa kommunikoida verkossa, olet hieman yllättynyt.

Tällä viikolla Googlen turvallisuustiimin jäsen Neel Mehta kertoi kehitysryhmälle osoitteessa OpenSSL että OpenSSL: n ”syke” -ominaisuuden kanssa on olemassa hyväksikäyttö. Google löysi virheen työskennellessään tietoturvayrityksen Codenomiconin kanssa yrittääkseen hakkeroida omia palvelimiaan. Googlen ilmoituksen jälkeen OpenSSL-tiimi julkaisi 7. huhtikuuta oman Turvallisuusneuvonta yhdessä vian hätäkorjauksen kanssa.

Virheelle on jo annettu lempinimi ”Heartbleed” turvallisuusanalyytikoiden toimesta Turvallisuusasiantuntija Bruce Schneier salasanoista, yksityisyydestä ja luottamuksestaLisätietoja turvallisuudesta ja yksityisyydestä haastattelussa turvallisuusasiantuntija Bruce Schneierin kanssa. Lue lisää , koska se hyödyntää OpenSSL: n "syke" -ominaisuutta huijaamaan OpenSSL: ää käyttävää järjestelmää paljastamaan arkaluontoisia tietoja, joita voidaan tallentaa järjestelmän muistiin. Vaikka suurella osalla muistiin tallennettua tietoa ei ehkä ole paljon arvoa hakkereille, helmi sieppaa ne avaimet, joita järjestelmä käyttää

salattu viestintä 5 tapaa salata tiedostosi turvallisesti pilvessäTiedostot voidaan salata siirrettäessä ja pilvipalveluntarjoajan palvelimilla, mutta pilvitallennusyritys voi salata ne - ja kuka tahansa, joka saa tilisi käyttöoikeuden, voi katsella tiedostoja. Asiakkaan puolella... Lue lisää .

Kun avaimet on saatu, hakkerit voivat sitten purkaa viestinnän ja kaapata arkaluontoisia tietoja, kuten salasanoja, luottokorttinumeroita ja muuta. Ainoa vaatimus näiden arkaluontoisten avainten hankkimiseksi on kuluttaa salattua tietoa palvelimelta tarpeeksi kauan avainten kaappaamiseksi. Hyökkäys on havaitsematon ja jäljittämätön.

OpenSSL-sykevika

Tämän turvallisuusvirheen seuraukset ovat valtavat. OpenSSL perustettiin ensimmäisen kerran joulukuussa 2011, ja siitä tuli nopeasti salattu kirjasto yritykset ja organisaatiot ympäri Internetiä salaamaan arkaluontoiset tiedot ja viestintää. Se on Apache-verkkopalvelimen käyttämä salaus, johon lähes puolet kaikista Internet-sivustoista on rakennettu.

OpenSSL-tiimin mukaan tietoturva-aukko johtuu ohjelmistovirheestä.

”Puuttuvien rajojen tarkistusta TLS-sykelaajennuksen käsittelyssä voidaan käyttää paljastamaan jopa 64 kt muistia kytketylle asiakkaalle tai palvelimelle. Vain OpenSSL: n 1.0.1 ja 1.0.2-beetajulkaisut, mukaan lukien 1.0.1f ja 1.0.2-beeta1, vaikuttavat siihen. "

Jättelemättä jälkiä palvelinlokeissa, hakkerit voisivat hyödyntää tätä heikkoutta saadakseen salattuja tietoja joiltakin Internetin arkaluontoisimpia palvelimia, kuten pankkien verkkopalvelimia, luottokorttiyhtiöiden palvelimia, laskujen maksusivustoja ja lisää.

Hakkereiden todennäköisyys hankkia salaiset avaimet on kuitenkin kyseenalainen, koska Googlen tietoturva-asiantuntija Adam Langley lähetti hänen Twitter-stream että hänen oma testauksensa ei tuottanut mitään yhtä herkkää kuin salaiset salausavaimet.

OpenSSL-tiimi suositti turvallisuusneuvontaan 7. huhtikuuta 7. päivittää välittömästi vaihtoehdon ja vaihtoehtoisen korjauksen palvelimen järjestelmänvalvojille, jotka eivät voi päivittää.

”Vaikuttavien käyttäjien tulee päivittää OpenSSL 1.0.1g -versioon. Käyttäjät, jotka eivät pysty päivittämään heti, voivat vaihtoehtoisesti kääntää OpenSSL: n uudelleen -DOPENSSL_NO_HEARTBEATS -sovelluksella. 1.0.2 vahvistetaan 1.0.2-beeta2: ssa. "

Koska OpenSSL on levinnyt Internetiin viimeisen kahden vuoden aikana, Google-ilmoituksen todennäköisyys johtaa lähestyviin hyökkäyksiin on melko korkea. Kuitenkin niin monet palvelinten järjestelmänvalvojat ja tietoturvapäälliköt päivittävät yritysjärjestelmänsä OpenSSL 1.0.1g: ksi mahdollisimman pian näiden hyökkäysten vaikutusta.

Lähde: OpenSSL