Annonse

Hvis du er en av de menneskene som alltid har trodd at åpen kildekodekryptografi er den sikreste måten å kommunisere på nettet, er du litt overraskende.

Denne uken informerte Neel Mehta, medlem av Googles sikkerhetsteam, utviklingsteamet kl OpenSSL at det finnes en utnyttelse med OpenSSLs "hjerterytme" -funksjon. Google oppdaget feilen da han jobbet med sikkerhetsfirmaet Codenomicon for å prøve å hacke sine egne servere. Etter Googles varsling, 7. april, ga OpenSSL-teamet ut sine egne Sikkerhetsrådgivning sammen med en nødoppdatering for feilen.

Feilen har allerede fått kallenavnet "Heartbleed" av sikkerhetsanalytikere Sikkerhetsekspert Bruce Schneier på passord, personvern og tillitLær mer om sikkerhet og personvern i vårt intervju med sikkerhetsekspert Bruce Schneier. Les mer , fordi den bruker OpenSSLs "hjerterytme" -funksjon for å lure et system som kjører OpenSSL, til å avsløre sensitiv informasjon som kan lagres i systemminnet. Selv om mye av informasjonen som er lagret i minnet kanskje ikke har mye verdi for hackere, ville perlen fanget selve tastene som systemet bruker til

instagram viewer
kryptere kommunikasjon 5 måter å sikre kryptere filene dine i nettskyenFilene dine kan være kryptert under transport og på nettskyleverandørens servere, men skylagringsselskapet kan dekryptere dem - og alle som får tilgang til kontoen din kan se filene. Klient side... Les mer .

Når nøklene er oppnådd, kan hackere deretter dekryptere kommunikasjon og fange sensitiv informasjon som passord, kredittkortnummer og mer. Det eneste kravet for å få tak i de sensitive nøklene er å konsumere de krypterte dataene fra serveren lenge nok til å fange nøklene. Angrepet er ikke påviselig og ikke sporbar.

OpenSSL Heartbeat Bug

Avgrensningene fra denne sikkerhetsfeilen er enorme. OpenSSL ble først opprettet i desember 2011, og det ble raskt et kryptografisk bibliotek som ble brukt av selskaper og organisasjoner over hele Internett for å kryptere sensitiv informasjon og kommunikasjon. Det er krypteringen som brukes av Apache-webserveren, som nesten halvparten av alle nettsteder på Internett er bygd på.

I følge OpenSSL-teamet kommer sikkerhetshullet fra en programvarefeil.

“En manglende grense-sjekk i håndteringen av TLS-hjerterytmeutvidelsen kan brukes til å avsløre opptil 64 000 minne til en tilkoblet klient eller server. Bare 1.0.1 og 1.0.2-beta utgivelser av OpenSSL blir berørt, inkludert 1.0.1f og 1.0.2-beta1. ”

mus-og-key
Uten å legge igjen spor i serverlogger, kan hackere utnytte denne svakheten for å få kryptert data fra noen av mest følsomme servere på Internett, for eksempel bankwebservere, kredittkortselskapsservere, betalingsnettsteder og mer.

Sannsynligheten for at hackere skaffer seg de hemmelige nøklene er fortsatt i spørsmålet, fordi Adam Langley, en sikkerhetsekspert fra Google, postet til sin Twitter-strøm at hans egen testing ikke viste noe så følsomt som hemmelige krypteringsnøkler.

Det ble informasjonssikkerhet 7. april, og OpenSSL-teamet anbefalte en øyeblikkelig oppgradering, og en alternativ løsning for serveradministratorer som ikke kan oppgradere.

“Berørte brukere bør oppgradere til OpenSSL 1.0.1g. Brukere som ikke kan oppgradere umiddelbart, kan alternativt kompilere OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 blir fikset i 1.0.2-beta2. ”

På grunn av spredningen av OpenSSL over hele Internett de siste to årene, er sannsynligheten for at Google-kunngjøringen fører til forestående angrep ganske høy. Imidlertid kan virkningen av disse angrepene dempes ved at så mange serveradministratorer og sikkerhetsansvarlige oppgraderer selskapssystemene sine til OpenSSL 1.0.1g så snart som mulig.

Kilde: OpenSSL

Ryan har en BSc-grad i elektroteknikk. Han har jobbet 13 år innen automatisering, 5 år innen IT, og er nå en applikasjonsingeniør. Han var tidligere administrerende redaktør for MakeUseOf, han snakket på nasjonale konferanser om datavisualisering og har blitt omtalt på nasjonal TV og radio.