Oglas
Če ste eden od tistih ljudi, ki so vedno verjeli, da je kriptografija odprte kode najbolj varen način za komunikacijo prek spleta, vas čaka nekoliko presenečenje.
Ta teden je Neel Mehta, član Googlove varnostne ekipe, obvestil razvojno skupino na OpenSSL da obstaja izkoristek s funkcijo »bitja srca« OpenSSL. Google je odkril hrošče pri sodelovanju z varnostnim podjetjem Codenomicon, da bi poskusil vdreti lastne strežnike. Po Googlovem obvestilu je 7. aprila ekipa OpenSSL izdala svoje Varnostno svetovanje skupaj z zasilnim obližem za hrošča.
Hrošč je že dobil vzdevek »Heartbleed« s strani varnostnih analitikov Strokovnjak za varnost Bruce Schneier o geslih, zasebnosti in zaupanjuVeč o varnosti in zasebnosti izveste v našem intervjuju z varnostnim strokovnjakom Bruceom Schneierjem. Preberi več , ker uporablja funkcijo »srčnega utripa« OpenSSL, da zavede sistem, ki vodi OpenSSL, da razkrije občutljive informacije, ki so lahko shranjene v sistemskem pomnilniku. Medtem ko veliko informacij, shranjenih v pomnilniku, hekerjem morda nima veliko vrednosti, bi dragulj zajemal same ključe, ki jih sistem uporablja
šifriranje komunikacij 5 načinov za varno šifriranje datotek v oblakuVaše datoteke so morda šifrirane med prevozom in na strežnikih ponudnika oblakov, vendar jih lahko podjetje za shranjevanje v oblaku dešifrira - in vsi, ki dobijo dostop do vašega računa, si jih lahko ogledajo. Stranka ... Preberi več .Ko pridobijo ključe, lahko hekerji dešifrirajo komunikacijo in zajamejo občutljive podatke, kot so gesla, številke kreditnih kartic in drugo. Edina zahteva za pridobitev teh občutljivih ključev je poraba šifriranih podatkov s strežnika dovolj dolgo, da lahko zajame ključe. Napad je nezaznaven in ga ni mogoče zaslediti.
Napaka srčnega utripa OpenSSL
Posledice te varnostne napake so ogromne. OpenSSL je bil prvič ustanovljen decembra 2011 in je hitro postal uporabljena kriptografska knjižnica s strani podjetij in organizacij po vsem internetu za šifriranje občutljivih informacij in komunikacije. Na šifriranju, ki ga uporablja spletni strežnik Apache, je zgrajena skoraj polovica vseh spletnih mest na internetu.
Po navedbah ekipe OpenSSL varnostna luknja izvira iz programske napake.
»Če preverite manjkajoče meje pri ravnanju s podaljškom srčnega utripa TLS, lahko prikažete do 64k pomnilnika povezanemu odjemalcu ali strežniku. Prizadeti sta samo 1.0.1 in 1.0.2-beta različici OpenSSL, vključno z 1.0.1f in 1.0.2-beta1. "
Ne da bi v dnevnikih strežnikov pustili nobene sledi, bi hekerji lahko izkoristili to šibkost in pridobili šifrirane podatke nekaterih najobčutljivejših strežnikov v internetu, kot so spletni strežniki bank, strežniki kreditnih kartic, spletna mesta za plačilo računov in več.
Verjetnost, da bodo hekerji pridobili tajne ključe, ostaja vprašljiva, saj je Adam Langley, Googlov strokovnjak za varnost, objavil njegov tok na Twitterju da njegovo lastno testiranje ni pokazalo nič tako občutljivega kot tajni šifrirni ključi.
Svoje varnostno svetovanje 7. aprila je ekipa OpenSSL priporočila takojšnjo nadgradnjo in nadomestni popravek za skrbnike strežnikov, ki ne morejo nadgraditi.
„Prizadeti uporabniki bi morali nadgraditi na OpenSSL 1.0.1g. Uporabniki, ki ne morejo takoj nadgraditi, lahko nadomestite OpenSSL z -DOPENSSL_NO_HEARTBEATS. 1.0.2 bo določen v 1.0.2-beta2. "
Zaradi širjenja OpenSSL po internetu v zadnjih dveh letih je verjetnost Googlove objave, ki vodi do bližnjih napadov, dokaj velika. Vpliv teh napadov lahko čim prej ublaži več skrbnikov strežnikov in varnostnih managerjev, ki svoje sisteme podjetij nadgradijo na OpenSSL 1.0.1g.
Vir: OpenSSL
Ryan ima diplomo iz elektrotehnike. 13 let je delal v avtomatizacijskem inženiringu, 5 let v IT, zdaj pa je inženir Apps. Nekdanji glavni urednik MakeUseOf je govoril na nacionalnih konferencah o vizualizaciji podatkov in je bil predstavljen na nacionalni televiziji in radiu.