Annons

Om du är en av de människor som alltid har trott att kryptering med öppen källkod är det säkraste sättet att kommunicera online, är du lite förvånad.

Den här veckan informerade Neel Mehta, en medlem av Googles säkerhetsteam, utvecklingsteamet på OpenSSL att det finns en exploit med OpenSSL: s "hjärtslag" -funktion. Google upptäckte felet när han arbetade med säkerhetsföretaget Codenomicon för att försöka hacka sina egna servrar. Efter Googles anmälan, den 7 april släppte OpenSSL-teamet sina egna Säkerhetsrådgivning tillsammans med en nödpatch för felet.

Buggen har redan fått smeknamnet "Heartbleed" av säkerhetsanalytiker Säkerhetsekspert Bruce Schneier om lösenord, integritet och förtroendeLäs mer om säkerhet och integritet i vår intervju med säkerhetsekspert Bruce Schneier. Läs mer , eftersom den använder OpenSSLs "hjärtslag" -funktion för att lura ett system som kör OpenSSL att avslöja känslig information som kan lagras i systemminnet. Även om mycket av den information som lagras i minnet kanske inte har mycket värde för hackare, skulle pärla fånga själva nycklarna som systemet använder för

instagram viewer
kryptera kommunikation 5 sätt att säkert kryptera dina filer i molnetDina filer kan vara krypterade i transit och på molnleverantörens servrar, men molnlagringsföretaget kan dekryptera dem - och alla som får tillgång till ditt konto kan visa filerna. Klientsidan... Läs mer .

När nycklarna har erhållits kan hackare dekryptera kommunikation och fånga känslig information som lösenord, kreditkortsnummer och mer. Det enda kravet för att få de känsliga nycklarna är att konsumera den krypterade informationen från servern tillräckligt länge för att fånga nycklarna. Attacken är inte upptäckbar och ospårbar.

OpenSSL Heartbeat Bug

Förgreningarna från denna säkerhetsbrist är enorma. OpenSSL grundades först i december 2011 och blev snabbt ett kryptografiskt bibliotek som använts av företag och organisationer över hela internet för att kryptera känslig information och kommunikation. Det är den kryptering som används av Apache-webbservern, som nästan hälften av alla webbplatser på Internet är byggda på.

Enligt OpenSSL-teamet kommer säkerhetshålet från en programvarufel.

”En saknad gränskontroll i hanteringen av TLS-hjärtslagsförlängningen kan användas för att avslöja upp till 64 k minne till en ansluten klient eller server. Endast 1.0.1- och 1.0.2-beta-frisättningar av OpenSSL påverkas inklusive 1.0.1f och 1.0.2-beta1. ”

mus-och-nyckel
Utan att lämna några spår på serverloggar kan hackare utnyttja denna svaghet för att få krypterad data från några av mest känsliga servrar på Internet, till exempel bankwebservrar, kreditkortsföretagsservrar, betalningswebbplatser och Mer.

Sannolikheten för att hackare får de hemliga nycklarna kvarstår dock ifråga, eftersom Adam Langley, en säkerhetsekspert från Google, postade till hans Twitter-ström att hans egen testning inte visade något lika känsligt som hemliga krypteringsnycklar.

Genom sin säkerhetsrådgivning den 7 april rekommenderade OpenSSL-teamet en omedelbar uppgradering och en alternativ fix för serveradministratörer som inte kan uppgradera.

”Berörda användare bör uppgradera till OpenSSL 1.0.1g. Användare som inte kan uppgradera omedelbart kan alternativt rekompilera OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 kommer att fixas i 1.0.2-beta2. ”

På grund av spridningen av OpenSSL över hela Internet under de senaste två åren är sannolikheten för att Google tillkännagivande leder till överhängande attacker ganska hög. Effekterna av dessa attacker kan emellertid mildras genom att så många serveradministratörer och säkerhetschefer uppgraderar sina företagssystem till OpenSSL 1.0.1g så snart som möjligt.

Källa: OpenSSL

Ryan har en kandidatexamen i elektroteknik. Han har arbetat 13 år inom automationsteknik, 5 år inom IT och är nu en applikationsingenjör. Tidigare chefredaktör för MakeUseOf, han talade på nationella konferenser om datavisualisering och har varit med på nationell TV och radio.