Bug masiv în OpenSSL pune multă siguranță la Internet

Dacă sunteți unul dintre acei oameni care au crezut întotdeauna că criptografia open source este calea cea mai sigură de a comunica online, sunteți într-o mică surpriză.

În această săptămână, Neel Mehta, membru al echipei de securitate Google, a informat echipa de dezvoltare de la OpenSSL că există un exploit cu OpenSSL “emoţie” caracteristică. Google a descoperit eroarea atunci când a lucrat cu firma de securitate Codenomicon pentru a încerca să-și hack propriile servere. După notificarea Google, pe data de 7 aprilie, echipa OpenSSL și-a lansat propria consiliere de securitate împreună cu un patch de urgență pentru bug-ul.

Bugetul a primit deja porecla “heartbleed” de către analiștii de securitate Expert în securitate Bruce Schneier Despre parolele, confidențialitatea și securitatea de securitate Expert Bruce Schneier Despre parole, confidențialitate și încredere Aflați mai multe despre securitate și confidențialitate în interviul nostru cu expertul în securitate Bruce Schneier. Citiți mai multe, deoarece utilizează OpenSSL “emoţie” facilitate pentru a trăda un sistem care rulează OpenSSL în dezvăluirea informațiilor sensibile care pot fi stocate în memoria sistemului. În timp ce o mare parte din informațiile stocate în memorie nu ar putea avea o valoare mult pentru hackeri, bijuterie ar fi captarea foarte cheile pe care sistemul utilizează pentru a cripta comunicații 5 moduri de a cripta în siguranță fișierele dvs. în Cloud 5 moduri de a cripta în siguranță fișierele în Cloud Fișierele dvs. pot fi criptate în tranzit și pe serverele furnizorului de cloud, dar compania de stocare în cloud le poate decripta - și oricine are acces la contul dvs. poate vizualiza fișierele. Pe partea clientului ... Citește mai mult .

Odată ce cheile sunt obținute, hackerii pot decripta comunicațiile și captează informații sensibile precum parole, numere de cărți de credit și multe altele. Singura cerință de a obține acele chei sensibile este de a consuma datele criptate de pe server suficient de lungă pentru a captura cheile. Atacul este nedetectabil și nu poate fi detectat.

OpenSSL Heartbeat Bug

Ramificațiile acestui defect de securitate sunt uriașe. OpenSSL a fost inițial creat în decembrie 2011 și a devenit rapid o bibliotecă criptografică utilizată de companii și organizații din întreaga lume pentru a cripta informații și comunicații sensibile. Este criptarea utilizată de serverul web Apache, pe care se bazează aproape jumătate din toate site-urile de pe Internet.

Potrivit echipei OpenSSL, gaura de securitate vine de la un defect de software.

“O verificare a limitelor lipsă în manipularea extensiei de bataie a TLS poate fi utilizată pentru a dezvălui până la 64k de memorie unui client sau server conectat. Numai versiunile 1.0.1 și 1.0.2-beta ale OpenSSL sunt afectate, inclusiv 1.0.1f și 1.0.2-beta1.”

Fără a lăsa urme pe jurnalele serverului, hackerii ar putea să exploateze această slăbiciune pentru a obține date criptate de la unele dintre cele mai sensibile servere de pe Internet, cum ar fi servere web bancare, servere ale companiilor de cărți de credit, site-uri de plată a facturilor și multe altele.

Probabilitatea ca hackerii să obțină cheile secrete rămâne, totuși, în cauză, deoarece Adam Langley, un expert în securitate Google, a postat pe fluxul său Twitter că propria sa testare nu a produs nimic atât de delicat ca cheile de criptare secrete.

Acesta a fost consultantul de securitate pe 7 aprilie, echipa OpenSSL a recomandat o actualizare imediată și o soluție alternativă pentru administratorii de servere care nu pot face upgrade.

“Utilizatorii afectați ar trebui să facă upgrade la OpenSSL 1.0.1g. Utilizatorii care nu pot actualiza imediat pot recompila alternativ OpenSSL cu -DOPENSSL_NO_HEARTBEATS. 1.0.2 va fi fixat în 1.0.2-beta2.”

Datorită proliferării OpenSSL pe Internet pe parcursul ultimilor doi ani, probabilitatea ca anunțul Google să ducă la atacuri iminente este destul de ridicat. Cu toate acestea, impactul acestor atacuri poate fi atenuat de către cât mai mulți administratori de servere și administratori de securitate care își modernizează sistemele companiei la OpenSSL 1.0.1g cât mai curând posibil.

Sursă: OpenSSL

Explorați mai multe despre: Online Security, OpenSSL, Password, SSL.