Hvis du er en av de personene som alltid har trodd at åpen kildekode kryptering er den sikreste måten å kommunisere på nettet, er du inne for litt overraskelse.
Denne uken informerte Neel Mehta, et medlem av Googles sikkerhetsgruppe, utviklingslaget på OpenSSL at det er en utnytte med OpenSSLs "heartbeat" -funksjon. Google oppdaget feilen når hun jobbet med sikkerhetsfirmaet Codenomicon for å prøve å hacke sine egne servere. Etter Googles varsling løste OpenSSL-teamet den 7. april sin egen sikkerhetsrådgivning sammen med et nødoppdateringsprogram for feilen.
Feilen har allerede fått kallenavnet "Heartbleed" av sikkerhetsanalytikere Sikkerhetsekspert Bruce Schneier på passord, personvern og tillitssikkerhetsekspert Bruce Schneier på passord, personvern og tillit Lær mer om sikkerhet og personvern i vårt intervju med sikkerhetsekspert Bruce Schneier. Les mer, fordi det bruker OpenSSLs "heartbeat" -funksjon til å lure et system som kjører OpenSSL, for å avsløre sensitiv informasjon som kan lagres i systemminnet. Selv om mye av informasjonen som er lagret i minnet, kanskje ikke har mye verdi for hackere, vil perlen ta opp de svært nøklene som systemet bruker til å kryptere kommunikasjon. 5 måter å trygt kryptere filene dine i skyen. 5 måter å trygt kryptere filene dine i Cloud Dine filer kan krypteres i transitt og på skyleverandørens servere, men skylagringsfirmaet kan dekryptere dem - og alle som får tilgang til kontoen din, kan se filene. Klientside ... Les mer.
Når tastene er oppnådd, kan hackere da dekryptere kommunikasjon og ta opp sensitiv informasjon som passord, kredittkortnummer og mer. Det eneste kravet på å oppnå de sensitive tastene er å konsumere krypterte data fra serveren lenge nok til å fange nøklene. Angrepet er uoppdagelig og untraceable.
The OpenSSL Heartbeat Bug
Forholdene fra denne sikkerhetsfeilen er store. OpenSSL ble først etablert i desember 2011, og det ble raskt et kryptografisk bibliotek brukt av selskaper og organisasjoner over hele Internett for å kryptere sensitiv informasjon og kommunikasjon. Det er krypteringen som brukes av Apache webserveren, som nesten halvparten av alle nettsteder på Internett er bygget på.
Ifølge OpenSSL-teamet kommer sikkerhetshullet fra en programvarefeil.
"En manglende grense sjekke inn håndteringen av TLS hjerterytme forlengelsen kan brukes til å avsløre opptil 64k minne til en tilkoblet klient eller server. Bare 1.0.1 og 1.0.2-beta utgivelser av OpenSSL påvirkes inkludert 1.0.1f og 1.0.2-beta1. "
Uten å forlate spor på serverlogger, kunne hackere utnytte denne svakheten for å skaffe krypterte data fra noen av de mest sensitive serverne på Internett, som bankwebservere, kredittkortbedriftsservere, fakturabetalingswebsteder og mer.
Sannsynligheten for hackere som henter de hemmelige nøklene, er imidlertid fortsatt, fordi Adam Langley, en Google-sikkerhetsekspert, skrev på sin Twitter-strømme at hans egen testing ikke viste noe så følsomt som hemmelige krypteringsnøkler.
Sikkerhetsrådgivningen den 7. april anbefalte OpenSSL-teamet en umiddelbar oppgradering, og en alternativ løsning for serveradministratorer som ikke kan oppgradere.
"Berørte brukere skal oppgradere til OpenSSL 1.0.1g. Brukere som ikke kan oppgradere umiddelbart, kan alternativt kompilere OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 blir løst i 1.0.2-beta2. "
På grunn av spredning av OpenSSL over hele Internett i løpet av de siste to årene, er sannsynligheten for at Google-kunngjøringen fører til forestående angrep ganske høy. Effekten av disse angrepene kan imidlertid reduseres av så mange serveradministratorer og sikkerhetsansvarlige som oppgraderer selskapssystemene til OpenSSL 1.0.1g så snart som mulig.
Kilde: OpenSSL