Reklame

Hvis du er en af ​​de mennesker, der altid har troet, at open source-kryptografi er den mest sikre måde at kommunikere online på, er du en overraskelse.

Denne uge informerede Neel Mehta, et medlem af Googles sikkerhedsteam, udviklingsholdet kl OpenSSL at der findes en udnyttelse med OpenSSLs “hjerteslag” -funktion. Google opdagede fejlen, da de samarbejdede med sikkerhedsfirmaet Codenomicon for at prøve at hacke sine egne servere. Efter Googles anmeldelse, 7. april frigav OpenSSL-teamet deres egne Sikkerhedsrådgivning sammen med en nødopdatering til fejlen.

Fejlen har allerede fået kaldenavnet "Heartbleed" af sikkerhedsanalytikere Sikkerhedsekspert Bruce Schneier om adgangskoder, privatliv og tillidLær mere om sikkerhed og privatliv i vores interview med sikkerhedsekspert Bruce Schneier. Læs mere , fordi den bruger OpenSSLs "hjerteslag" -funktion til at narre et system, der kører OpenSSL, til at afsløre følsomme oplysninger, der muligvis kan gemmes i systemhukommelsen. Mens meget af informationen, der er gemt i hukommelsen muligvis ikke har meget værdi for hackere, vil perlen fange de nøgler, som systemet bruger til

instagram viewer
krypter kommunikation 5 måder til sikkert at kryptere dine filer i skyenDine filer kan være krypteret i transit og på skyudbyderens servere, men skylagringsfirmaet kan dekryptere dem - og enhver, der får adgang til din konto, kan se filerne. Klient-side ... Læs mere .

Når nøglerne er opnået, kan hackere derefter dekryptere kommunikation og fange følsomme oplysninger som adgangskoder, kreditkortnumre og mere. Det eneste krav for at få disse følsomme nøgler er at forbruge de krypterede data fra serveren længe nok til at fange nøglerne. Angrebet er ikke påviseligt og ikke sporbart.

OpenSSL Heartbeat Bug

Afgrænsningerne fra denne sikkerhedsfejl er enorme. OpenSSL blev først oprettet i december 2011, og det blev hurtigt brugt et kryptografisk bibliotek af virksomheder og organisationer overalt på internettet for at kryptere følsom information og kommunikation. Det er den kryptering, der bruges af Apache-webserveren, som næsten halvdelen af ​​alle websteder på Internettet er bygget på.

Ifølge OpenSSL-teamet kommer sikkerhedshullet fra en softwarefejl.

”En manglende grænsekontrol i håndteringen af ​​TLS-hjerteslagudvidelsen kan bruges til at afsløre op til 64 k hukommelse til en tilsluttet klient eller server. Kun 1.0.1 og 1.0.2-beta-frigivelser af OpenSSL er berørt, herunder 1.0.1f og 1.0.2-beta1. ”

muse-og-nøgle
Uden at efterlade spor i serverlogfiler kunne hackere udnytte denne svaghed til at få krypterede data fra nogle af mest følsomme servere på Internettet, f.eks. bankwebservere, kreditkortselskabsservere, websteder for betaling af fakturaer og mere.

Sandsynligheden for, at hackere får de hemmelige nøgler, forbliver dog i tvivl om, fordi Adam Langley, en Google-sikkerhedsekspert, sendte til hans Twitter-stream at hans egen test ikke viste noget så følsomt som hemmelige krypteringsnøgler.

Det var sin sikkerhedsrådgivning den 7. april, OpenSSL-teamet anbefalede en øjeblikkelig opgradering og en alternativ løsning til serveradministratorer, der ikke kan opgradere.

“Berørte brugere skal opgradere til OpenSSL 1.0.1g. Brugere, der ikke kan opgradere straks, kan alternativt rekompilere OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 vil blive rettet i 1.0.2-beta2. ”

På grund af spredningen af ​​OpenSSL over hele internettet i løbet af de sidste to år, er sandsynligheden for, at Google-meddelelsen fører til forestående angreb, ret stor. Imidlertid kan virkningen af ​​disse angreb reduceres ved, at så mange serveradministratorer og sikkerhedsadministratorer opgraderer deres virksomhedssystemer til OpenSSL 1.0.1g så hurtigt som muligt.

Kilde: OpenSSL

Ryan har en BSc-grad i elektroteknik. Han har arbejdet 13 år inden for automatisering, 5 år inden for it, og er nu en applikationsingeniør. En tidligere administrerende redaktør for MakeUseOf, han har talt på nationale konferencer om datavisualisering og har været vist på nationalt tv og radio.