Огромная ошибка в OpenSSL ставит под угрозу большую часть Интернета

Реклама

Если вы один из тех людей, которые всегда считали, что криптография с открытым исходным кодом является наиболее безопасным способом общения в Интернете, вас ждет небольшой сюрприз.

На этой неделе Нил Мехта, сотрудник службы безопасности Google, сообщил команде разработчиков OpenSSL что существует эксплойт с функцией «пульса» в OpenSSL. Google обнаружил ошибку при работе с охранной фирмой Codenomicon, пытаясь взломать свои собственные серверы. После уведомления Google 7 апреля команда OpenSSL выпустила свой собственный Советы по безопасности вместе с аварийным патчем для ошибки.

Ошибка уже получила прозвище «Heartbleed» аналитики безопасности Эксперт по безопасности Брюс Шнайер О паролях, конфиденциальности и доверииУзнайте больше о безопасности и конфиденциальности в нашем интервью с экспертом по безопасности Брюсом Шнайером. Читать далее потому что он использует функцию «сердцебиения» OpenSSL, чтобы обмануть систему, на которой работает OpenSSL, в раскрытие конфиденциальной информации, которая может храниться в системной памяти. Хотя большая часть информации, хранящейся в памяти, может не иметь большого значения для хакеров, драгоценный камень будет захватывать те самые ключи, которые система использует для

шифровать сообщения 5 способов безопасного шифрования ваших файлов в облакеВаши файлы могут быть зашифрованы при передаче и на серверах облачного провайдера, но компания облачного хранилища может расшифровать их - и любой, кто получит доступ к вашей учетной записи, сможет просмотреть файлы. Сторона клиента... Читать далее .

После получения ключей хакеры могут расшифровать сообщения и получить конфиденциальную информацию, такую ​​как пароли, номера кредитных карт и многое другое. Единственное требование для получения этих чувствительных ключей - это использовать зашифрованные данные с сервера достаточно долго для захвата ключей. Атака не обнаруживается и не отслеживается.

Ошибка сердцебиения OpenSSL

Последствия этого недостатка безопасности огромны. OpenSSL был впервые создан в декабре 2011 года и быстро стал криптографической библиотекой, используемой компаниями и организациями по всему Интернету для шифрования конфиденциальной информации и коммуникации. Это шифрование, используемое веб-сервером Apache, на котором построено почти половина всех веб-сайтов в Интернете.

По словам команды OpenSSL, дыра в безопасности связана с недостатком программного обеспечения.

«Проверка пропущенных границ при обработке расширения пульса TLS может использоваться для обнаружения до 64 КБ памяти подключенному клиенту или серверу. Это касается только 1.0.1 и 1.0.2-бета-версий OpenSSL, включая 1.0.1f и 1.0.2-бета1 ».

Не оставляя никаких следов в журналах сервера, хакеры могут использовать эту уязвимость для получения зашифрованных данных из некоторых наиболее чувствительные серверы в Интернете, такие как банковские веб-серверы, серверы компаний-эмитентов кредитных карт, веб-сайты для оплаты счетов и Больше.

Вероятность получения секретными ключами хакерами остается под вопросом, потому что Адам Лэнгли, эксперт по безопасности Google, разместил его твиттер что его собственное тестирование не обнаружило ничего более чувствительного, чем секретные ключи шифрования.

В своем сообщении по безопасности от 7 апреля команда OpenSSL рекомендовала немедленное обновление и альтернативное исправление для администраторов серверов, которые не могут выполнить обновление.

«Затронутые пользователи должны перейти на OpenSSL 1.0.1g. Пользователи, которые не могут выполнить немедленное обновление, могут альтернативно перекомпилировать OpenSSL с -DOPENSSL_NO_HEARTBEATS. 1.0.2 будет исправлено в 1.0.2-бета2 ».

Из-за распространения OpenSSL в Интернете за последние два года вероятность объявления Google, приводящего к надвигающимся атакам, довольно высока. Однако влияние этих атак может быть смягчено как можно большим количеством администраторов серверов и менеджеров безопасности, которые в кратчайшие сроки обновляют свои корпоративные системы до OpenSSL 1.0.1g.

Источник: OpenSSL