Διαφήμιση

Εάν είστε ένα από αυτά τα άτομα που πίστευαν πάντα ότι η κρυπτογραφία ανοιχτού κώδικα είναι ο ασφαλέστερος τρόπος επικοινωνίας στο διαδίκτυο, θα πρέπει να εκπλαγείτε.

Αυτή την εβδομάδα, ο Neel Mehta, μέλος της ομάδας ασφαλείας της Google, ενημέρωσε την ομάδα ανάπτυξης στο OpenSSL ότι υπάρχει εκμετάλλευση με τη λειτουργία "καρδιακού παλμού" του OpenSSL. Η Google ανακάλυψε το σφάλμα όταν συνεργάστηκε με την εταιρεία ασφαλείας Codenomicon για να δοκιμάσει και να χαράξει τους διακομιστές της. Μετά την ειδοποίηση της Google, στις 7 Απριλίου, η ομάδα του OpenSSL κυκλοφόρησε τη δική τους Συμβουλευτική για την ασφάλεια μαζί με μια επείγουσα ενημέρωση κώδικα για το σφάλμα.

Το σφάλμα έχει ήδη δοθεί το ψευδώνυμο "Heartbleed" από αναλυτές ασφαλείας Ο ειδικός ασφαλείας Bruce Schneier σχετικά με τους κωδικούς πρόσβασης, το απόρρητο και την εμπιστοσύνηΜάθετε περισσότερα σχετικά με την ασφάλεια και το απόρρητο στη συνέντευξή μας με τον εμπειρογνώμονα ασφαλείας Bruce Schneier. Διαβάστε περισσότερα

instagram viewer
, επειδή χρησιμοποιεί τη λειτουργία "καρδιακού παλμού" του OpenSSL για να εξαπατήσει ένα σύστημα που εκτελεί το OpenSSL να αποκαλύψει ευαίσθητες πληροφορίες που μπορεί να αποθηκευτούν στη μνήμη του συστήματος. Ενώ πολλές από τις πληροφορίες που είναι αποθηκευμένες στη μνήμη μπορεί να μην έχουν μεγάλη αξία για τους χάκερ, το στολίδι θα καταγράφει τα ίδια τα κλειδιά που χρησιμοποιεί το σύστημα κρυπτογράφηση επικοινωνιών 5 τρόποι για την ασφαλή κρυπτογράφηση των αρχείων σας στο CloudΤα αρχεία σας ενδέχεται να είναι κρυπτογραφημένα κατά τη μεταφορά και στους διακομιστές του παρόχου cloud, αλλά η εταιρεία αποθήκευσης cloud μπορεί να τα αποκρυπτογραφήσει - και όποιος έχει πρόσβαση στον λογαριασμό σας μπορεί να δει τα αρχεία. Πελάτης ... Διαβάστε περισσότερα .

Μόλις ληφθούν τα κλειδιά, οι χάκερ μπορούν στη συνέχεια να αποκρυπτογραφήσουν επικοινωνίες και να καταγράψουν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών και άλλα. Η μόνη απαίτηση για την απόκτηση αυτών των ευαίσθητων κλειδιών είναι η κατανάλωση των κρυπτογραφημένων δεδομένων από το διακομιστή για αρκετό καιρό για τη λήψη των κλειδιών. Η επίθεση είναι μη ανιχνεύσιμη και ανιχνεύσιμη.

Το σφάλμα OpenSSL Heartbeat

Οι συνέπειες από αυτό το ελάττωμα ασφαλείας είναι τεράστιες. Το OpenSSL ιδρύθηκε για πρώτη φορά τον Δεκέμβριο του 2011 και έγινε γρήγορα μια κρυπτογραφική βιβλιοθήκη που χρησιμοποιήθηκε από εταιρείες και οργανισμούς σε όλο το Διαδίκτυο για την κρυπτογράφηση ευαίσθητων πληροφοριών και διαβιβάσεις. Είναι η κρυπτογράφηση που χρησιμοποιείται από τον διακομιστή διαδικτύου Apache, στον οποίο σχεδόν οι μισοί από όλους τους ιστότοπους στο Διαδίκτυο είναι χτισμένοι.

Σύμφωνα με την ομάδα OpenSSL, η τρύπα ασφαλείας προέρχεται από ένα ελάττωμα λογισμικού.

«Ένας έλεγχος ορίων που λείπει κατά το χειρισμό της επέκτασης καρδιακού παλμού TLS μπορεί να χρησιμοποιηθεί για να αποκαλύψει έως και 64k μνήμης σε συνδεδεμένο πελάτη ή διακομιστή. Επηρεάζονται μόνο οι εκδόσεις 1.0.1 και 1.0.2-beta του OpenSSL, συμπεριλαμβανομένων των 1.0.1f και 1.0.2-beta1. "

ποντίκι και πλήκτρο
Χωρίς να αφήσουν ίχνη στα αρχεία καταγραφής διακομιστών, οι χάκερ θα μπορούσαν να εκμεταλλευτούν αυτήν την αδυναμία για να αποκτήσουν κρυπτογραφημένα δεδομένα από ορισμένα από τα αρχεία οι πιο ευαίσθητοι διακομιστές στο Διαδίκτυο, όπως διακομιστές τραπεζικών ιστών, διακομιστές εταιρειών πιστωτικών καρτών, ιστότοποι πληρωμής λογαριασμών και περισσότερο.

Η πιθανότητα των χάκερ να αποκτήσουν τα μυστικά κλειδιά παραμένει υπό αμφισβήτηση, επειδή ο Adam Langley, ειδικός ασφαλείας της Google, δημοσίευσε τη ροή του στο Twitter ότι οι δικές του δοκιμές δεν έδειξαν τίποτα τόσο ευαίσθητο όσο τα μυστικά κλειδιά κρυπτογράφησης.

Είναι η Συμβουλευτική Ασφάλεια στις 7 Απριλίου, η ομάδα του OpenSSL συνέστησε μια άμεση αναβάθμιση και μια εναλλακτική λύση για τους διαχειριστές διακομιστών που δεν μπορούν να αναβαθμίσουν.

«Οι επηρεαζόμενοι χρήστες πρέπει να κάνουν αναβάθμιση σε OpenSSL 1.0.1g. Οι χρήστες που δεν μπορούν να πραγματοποιήσουν άμεση αναβάθμιση μπορούν εναλλακτικά να μεταγλωττίσουν ξανά το OpenSSL με το -DOPENSSL_NO_HEARTBEATS. Το 1.0.2 θα διορθωθεί σε 1.0.2-beta2. "

Λόγω της διάδοσης του OpenSSL σε όλο το Διαδίκτυο τα τελευταία δύο χρόνια, η πιθανότητα της ανακοίνωσης της Google να οδηγήσει σε επικείμενες επιθέσεις είναι αρκετά υψηλή. Ωστόσο, ο αντίκτυπος αυτών των επιθέσεων μπορεί να μετριαστεί από πολλούς διαχειριστές διακομιστών και διαχειριστές ασφαλείας που αναβαθμίζουν τα συστήματα της εταιρείας τους σε OpenSSL 1.0.1g το συντομότερο δυνατό.

Πηγή: OpenSSL

Ο Ryan έχει πτυχίο Ηλεκτρολόγου Μηχανικού. Εργάστηκε 13 χρόνια στη μηχανική αυτοματισμού, 5 χρόνια στην πληροφορική και τώρα είναι Μηχανικός εφαρμογών. Πρώην διευθύνων σύμβουλος του MakeUseOf, μίλησε σε εθνικά συνέδρια για την οπτικοποίηση δεδομένων και έχει εμφανιστεί στην εθνική τηλεόραση και ραδιόφωνο.