reklama
Pokud jste jedním z těch lidí, kteří vždy věřili, že kryptografie s otevřeným zdrojovým kódem je nejbezpečnějším způsobem komunikace online, jste na trochu překvapení.
Tento týden informovala vývojová skupina Neel Mehta, členka bezpečnostního týmu Google OpenSSL že exploit existuje s funkcí „srdečního rytmu“ OpenSSL. Google objevil chybu při práci s bezpečnostní firmou Codenomicon a pokusil se hacknout své vlastní servery. Po oznámení společnosti Google 7. dubna vydal tým OpenSSL své vlastní Bezpečnostní doporučení spolu s nouzovou opravou chyby.
Chyba již byla přezdívka „Heartbleed“ bezpečnostními analytiky Bezpečnostní expert Bruce Schneier o heslech, soukromí a důvěřeZjistěte více o zabezpečení a soukromí v našem rozhovoru s odborníkem na bezpečnost Bruce Schneier. Přečtěte si více , protože využívá funkci „srdečního rytmu“ OpenSSL k nalákání systému, na kterém běží OpenSSL, k odhalení citlivých informací, které mohou být uloženy v systémové paměti. Zatímco většina informací uložených v paměti nemusí mít hackerům velkou hodnotu, klenot by zachytil samotné klíče, které systém používá
šifrování komunikace 5 způsobů, jak bezpečně šifrovat vaše soubory v clouduVaše soubory mohou být šifrovány během přenosu a na serverech poskytovatele cloudu, ale společnost cloudového úložiště je může dešifrovat - soubory může zobrazit kdokoli, kdo získá přístup k vašemu účtu. Na straně klienta ... Přečtěte si více .Jakmile jsou klíče získány, mohou hackeři dešifrovat komunikaci a zachytit citlivé informace, jako jsou hesla, čísla kreditních karet a další. Jediným požadavkem k získání těchto citlivých klíčů je spotřebovat šifrovaná data ze serveru dostatečně dlouho na to, aby zachytily klíče. Útok je nezjistitelný a nevysledovatelný.
Chyba HeartSeat OpenSSL
Důsledky této bezpečnostní chyby jsou obrovské. OpenSSL byl poprvé založen v prosinci 2011 a rychle se stal použitou kryptografickou knihovnou společnostmi a organizacemi po celém internetu k šifrování citlivých informací a komunikace. Je to šifrování využívané webovým serverem Apache, na kterém je postavena téměř polovina všech webových stránek na internetu.
Podle týmu OpenSSL bezpečnostní díra pochází ze softwarové chyby.
„Kontrola chybějících hranic při manipulaci s rozšířením prezenčního signálu TLS může být použita k odhalení až 64 kB paměti připojenému klientovi nebo serveru. Ovlivněny jsou pouze verze 1.0.1 a 1.0.2-beta OpenSSL včetně 1.0.1f a 1.0.2-beta1. “
Bez zanechání stopy na serverových protokolech by hackeři mohli tuto slabost využít k získání šifrovaných dat z některých nejcitlivější servery na internetu, jako jsou bankovní webové servery, servery společnosti vydávající kreditní karty, webové stránky pro platby faktur a více.
Pravděpodobnost, že hackeři získají tajné klíče, však zůstává pochybná, protože Adam Langley, odborník na bezpečnost Google, byl vyslán na jeho stream na Twitteru že jeho vlastní testování nezjistilo nic tak citlivého jako tajné šifrovací klíče.
Ve svém bezpečnostním doporučení dne 7. dubna tým OpenSSL doporučil okamžitou aktualizaci a alternativní opravu pro správce serveru, kteří nemohou upgradovat.
„Dotčení uživatelé by měli upgradovat na OpenSSL 1.0.1g. Uživatelé, kteří nemohou okamžitě upgradovat, mohou alternativně zkompilovat OpenSSL s -DOPENSSL_NO_HEARTBEATS. 1.0.2 bude opraveno v 1.0.2-beta2. “
Vzhledem k šíření OpenSSL na internetu v posledních dvou letech je pravděpodobnost oznámení Google, které povede k hrozícím útokům, poměrně vysoká. Dopad těchto útoků však může být zmírněn tím, že co nejvíce správců serverů a správců zabezpečení upgraduje své podnikové systémy na OpenSSL 1.0.1g co nejdříve.
Zdroj: OpenSSL
Ryan má bakalářský titul z elektrotechniky. Pracoval 13 let v automatizační technice, 5 let v IT a nyní je Apps Engineer. Bývalý šéfredaktor MakeUseOf, vystoupil na národních konferencích o vizualizaci dat a vystupoval v národních televizích a rádiích.