Michael Fisher
0 
4685
526
Если вы один из тех людей, которые всегда считали, что криптография с открытым исходным кодом является наиболее безопасным способом общения в Интернете, вас ждет небольшой сюрприз.
На этой неделе Нил Мехта, член команды безопасности Google, сообщил команде разработчиков OpenSSL, что существует уязвимость с OpenSSL. “стук сердца” особенность. Google обнаружил ошибку при работе с охранной фирмой Codenomicon, пытаясь взломать свои собственные серверы. После уведомления Google, 7 апреля, команда OpenSSL выпустила собственную рекомендацию по безопасности вместе с экстренным патчем для исправления ошибки..
Ошибка уже получила прозвище “Heartbleed” Аналитики безопасности эксперт по безопасности Брюс Шнайер о паролях, конфиденциальности и доверии Эксперт безопасности Брюс Шнайер о паролях, конфиденциальности и доверии Узнайте больше о безопасности и конфиденциальности в нашем интервью с экспертом по безопасности Брюсом Шнайером. потому что он использует OpenSSL “стук сердца” функция, позволяющая обмануть систему, в которой работает OpenSSL, на раскрытие конфиденциальной информации, которая может храниться в системной памяти. Хотя большая часть информации, хранящейся в памяти, может не иметь большого значения для хакеров, драгоценный камень будет захватывать те самые ключи, которые система использует для шифрования сообщений. 5 способов безопасного шифрования ваших файлов в облаке. 5 способов безопасного шифрования ваших файлов в Облако Ваши файлы могут быть зашифрованы при транспортировке и на серверах провайдера облачных вычислений, но компания облачного хранилища может расшифровать их - и любой, кто получит доступ к вашей учетной записи, сможет просмотреть файлы. Сторона клиента… .
После получения ключей хакеры могут расшифровать сообщения и получить конфиденциальную информацию, такую как пароли, номера кредитных карт и многое другое. Единственное требование для получения этих чувствительных ключей - это использовать зашифрованные данные с сервера достаточно долго для захвата ключей. Атака не обнаруживается и не отслеживается.
Ошибка сердцебиения OpenSSL
Последствия этого недостатка безопасности огромны. OpenSSL был впервые создан в декабре 2011 года и быстро стал криптографической библиотекой, используемой компаниями и организациями по всему Интернету для шифрования конфиденциальной информации и сообщений. Это шифрование, используемое веб-сервером Apache, на котором построено почти половина всех веб-сайтов в Интернете..
По словам команды OpenSSL, дыра в безопасности связана с недостатком программного обеспечения.
“Проверка пропущенных границ в обработке расширения пульса TLS может использоваться для обнаружения до 64 КБ памяти подключенному клиенту или серверу. Это касается только 1.0.1 и 1.0.2-бета-версий OpenSSL, включая 1.0.1f и 1.0.2-бета1.”
Не оставляя следов в журналах серверов, хакеры могут использовать эту уязвимость для получения зашифрованных данных с некоторых из наиболее чувствительных серверов в Интернете, таких как банковские веб-серверы, серверы компаний-эмитентов кредитных карт, сайты оплаты счетов и многое другое..
Вероятность того, что хакеры получат секретные ключи, остается под вопросом, потому что Адам Лэнгли, эксперт по безопасности Google, написал в своем потоке в Твиттере, что его собственное тестирование не обнаружило ничего более чувствительного, чем секретные ключи шифрования..
В своем сообщении по безопасности от 7 апреля команда OpenSSL рекомендовала немедленное обновление и альтернативное исправление для администраторов серверов, которые не могут обновить.
“Затронутые пользователи должны обновить до OpenSSL 1.0.1g. Пользователи, не имеющие возможности немедленного обновления, могут альтернативно перекомпилировать OpenSSL с -DOPENSSL_NO_HEARTBEATS. 1.0.2 будет исправлено в 1.0.2-бета2.”
Из-за распространения OpenSSL по всему Интернету в течение последних двух лет вероятность объявления Google, приводящего к надвигающимся атакам, довольно высока. Однако влияние этих атак может быть смягчено как можно большим количеством администраторов серверов и менеджеров безопасности, которые в кратчайшие сроки обновляют свои корпоративные системы до OpenSSL 1.0.1g..
Источник: OpenSSL