Огромна грешка у ОпенССЛ-у доводи у опасност много интернета

Реклама

Ако сте један од оних људи који су увек веровали да је криптографија отвореног кода најсигурнији начин за комуникацију на мрежи, чека вас неко изненађење.

Ове недеље Неел Мехта, члан Гоогле-овог безбедносног тима, обавестио је развојни тим на ОпенССЛ да постоји експлоатација са ОпенССЛ-овом функцијом „откуцаја срца“. Гоогле је открио грешку радећи са заштитарском фирмом Цоденомицон да би покушао да хакује сопствене сервере. Након Гоогле-ове обавештења, 7. априла, тим ОпенССЛ-а објавио је своје Безбедносно саветовање заједно са закрпом за хитне случајеве.

Буба је већ добила надимак „Хеартблеед“ безбедносни аналитичари Стручњак за сигурност Бруце Сцхнеиер о лозинкама, приватности и повјерењуСазнајте више о сигурности и приватности у нашем интервјуу са сигурносним стручњаком Бруцеом Сцхнеиером. Опширније , јер користи ОпенССЛ-ову функцију „откуцаја срца“ да би увео систем који покреће ОпенССЛ у откривање осетљивих информација које могу бити смештене у системској меморији. Иако велики део података похрањених у меморији хакерима можда неће имати велику вредност, драгуљ би хватао саме кључеве које систем користи

шифровати комуникације 5 начина за сигурно шифрирање датотека у облакуВаше датотеке могу бити шифроване у транзиту и на серверима добављача облака, али компанија за складиштење облака може да их дешифрује - и свако ко добије приступ вашем налогу може да га прегледа. На страни клијента ... Опширније .

Након што се добију кључеви, хакери могу затим дешифрирати комуникацију и снимити осјетљиве информације попут лозинки, бројева кредитне картице и још много тога. Једини захтев за добијање тих осетљивих кључева је да се шифрирани подаци са сервера конзумирају довољно дуго да би снимили кључеве. Напад се не може препознати и не може се пратити.

Грешка за откуцај срца ОпенССЛ

Последице ове безбедносне грешке су огромне. ОпенССЛ је први пут основан у децембру 2011. године и брзо је постао коришћена криптографска библиотека компаније и организације широм Интернета како би шифрирали осетљиве информације и комуникације. То је шифровање које користи веб сервер Апацхе, на чему је изграђена готово половина свих веб локација на Интернету.

Према ОпенССЛ тиму, сигурносна рупа долази због софтверске грешке.

„Провера граница које недостају у руковању ТЛС екстензијом откуцаја срца може се користити за откривање до 64к меморије повезаном клијенту или серверу. Само 1.0.1 и 1.0.2-бета издања ОпенССЛ-а су погођена, укључујући 1.0.1ф и 1.0.2-бета1. "

Не остављајући никакве трагове у евиденцијама сервера, хакери би могли да искористе ту слабост да би добили неке шифроване податке најосетљивији сервери на Интернету, попут веб сервера банака, сервера компанија са кредитним картицама, веб локација за плаћање рачуна и више.

Вероватноћа да хакери добију тајне кључеве и даље остаје под знаком питања, јер је Адам Ланглеи, Гооглеов стручњак за безбедност, објавио његов ток на Твиттеру да његово сопствено тестирање није показало ништа тако осетљиво као тајни кључеви за шифровање.

Саветодавно безбедносни савет 7. априла, ОпенССЛ тим је препоручио хитну надоградњу и алтернативно решење за администраторе сервера који не могу да надограде.

„Повезани корисници требало би да надограде на ОпенССЛ 1.0.1г. Корисници који не могу одмах надоградити могу алтернативно копирати ОпенССЛ са -ДОПЕНССЛ_НО_ХЕАРТБЕАТС. 1.0.2 ће бити фиксно у 1.0.2-бета2. "

Због ширења ОпенССЛ-а на Интернету током последње две године, вероватноћа да ће Гоогле најава довести до предстојећих напада прилично је велика. Међутим, утицај тих напада може да ублажи што више администратора сервера и менаџера безбедности надограђујући своје системе компанија на ОпенССЛ 1.0.1г што је пре могуће.

Извор: ОпенССЛ