İlan
Her zaman açık kaynaklı şifrelemenin çevrimiçi iletişim kurmanın en güvenli yolu olduğuna inananlardan biriyseniz, biraz şaşırıyorsunuz demektir.
Bu hafta, Google’ın güvenlik ekibinin bir üyesi olan Neel Mehta, OpenSSL OpenSSL’nin “kalp atışı” özelliğinde bir istismar var. Google, kendi sunucularını hacklemek için güvenlik firması Codenomicon ile çalışırken hatayı keşfetti. Google’ın bildiriminin ardından, 7 Nisan’da OpenSSL ekibi kendi Güvenlik Danışmanlığı böcek için acil bir yama ile birlikte.
Hataya zaten “Heartbleed” takma adı verilmiştir. güvenlik analistleri tarafından Güvenlik Uzmanı Bruce Schneier Şifreler, Gizlilik ve Güven KonusundaGüvenlik uzmanı Bruce Schneier ile yaptığımız röportajda güvenlik ve gizlilik hakkında daha fazla bilgi edinin. Daha fazla oku , OpenSSL çalıştıran bir sistemi sistem belleğinde saklanabilecek hassas bilgileri ortaya çıkarmak için kandırmak için OpenSSL’nin “kalp atışı” özelliğini kullandığından. Bellekte saklanan bilgilerin çoğu bilgisayar korsanları için çok değerli olmasa da, gem sistemin kullandığı anahtarları
iletişimi şifrelemek Dosyalarınızı Bulutta Güvenle Şifrelemenin 5 YoluDosyalarınız transit olarak ve bulut sağlayıcısının sunucularında şifrelenmiş olabilir, ancak bulut depolama şirketi bunların şifresini çözebilir ve hesabınıza erişen herkes dosyaları görüntüleyebilir. İstemci tarafı ... Daha fazla oku .Anahtarlar elde edildikten sonra, bilgisayar korsanları iletişimin şifresini çözebilir ve şifreler, kredi kartı numaraları ve daha fazlası gibi hassas bilgileri yakalayabilir. Bu hassas anahtarları edinmenin tek şartı şifrelenmiş verileri sunucudan anahtarları yakalayacak kadar uzun süre tüketmektir. Saldırı tespit edilemez ve izlenemez.
OpenSSL Kalp Atışı Hatası
Bu güvenlik açığından kaynaklanan sonuçlar çok büyük. OpenSSL ilk olarak 2011 yılının Aralık ayında kuruldu ve hızla kullanılan bir şifreleme kütüphanesi oldu hassas bilgileri şifrelemek için İnternet genelindeki şirketler ve kuruluşlar tarafından iletişim. İnternetteki tüm web sitelerinin neredeyse yarısının üzerine inşa edildiği Apache web sunucusu tarafından kullanılan şifrelemedir.
OpenSSL ekibine göre, güvenlik açığı bir yazılım kusurundan geliyor.
“TLS kalp atışı uzantısının işlenmesinde eksik bir sınır denetimi, bağlı bir istemciye veya sunucuya 64k'a kadar bellek göstermek için kullanılabilir. 1.0.1f ve 1.0.2-beta1 dahil yalnızca 1.0.1 ve 1.0.2-beta OpenSSL sürümleri etkilenir. ”
Bilgisayar günlükleri üzerinde herhangi bir iz bırakmadan, bilgisayar korsanları bu zayıflıktan bazılarının İnternetteki banka web sunucuları, kredi kartı şirket sunucuları, fatura ödeme web siteleri ve Daha.
Bilgisayar korsanlarının gizli anahtarları edinme olasılığı hala söz konusudur, çünkü bir Google güvenlik uzmanı Adam Langley onun Twitter akışı Kendi testinin gizli şifreleme anahtarları kadar hassas bir şey üretmediğini.
7 Nisan'da Güvenlik Danışma Belgesi, OpenSSL ekibi hemen yükseltme ve yükseltme yapamayan sunucu yöneticileri için alternatif bir düzeltme önerdi.
“Etkilenen kullanıcılar OpenSSL 1.0.1g sürümüne geçmelidir. Hemen yükseltemeyen kullanıcılar alternatif olarak OpenSSL'yi -DOPENSSL_NO_HEARTBEATS ile yeniden derleyebilir. 1.0.2, 1.0.2-beta2'de düzeltilecektir. ”
OpenSSL'nin son iki yılda İnternet genelinde yaygınlaşması nedeniyle, Google duyurusunun yaklaşan saldırılara yol açma olasılığı oldukça yüksektir. Ancak, bu saldırıların etkisi, şirket sistemlerini mümkün olan en kısa sürede OpenSSL 1.0.1g'ye yükselten sunucu yöneticileri ve güvenlik yöneticileri tarafından azaltılabilir.
Kaynak: OpenSSL
Ryan Elektrik Mühendisliği lisans derecesine sahiptir. 13 yıl otomasyon mühendisliği, 5 yıl BT'de çalıştı ve şu anda bir Uygulama Mühendisi. MakeUseOf'un eski bir Genel Yayın Yönetmeni, Veri Görselleştirme üzerine ulusal konferanslarda konuştu ve ulusal TV ve radyoda yer aldı.