Αν είστε ένας από εκείνους τους ανθρώπους που πάντα πίστευα ότι η κρυπτογραφία ανοιχτής πηγής είναι ο πιο ασφαλής τρόπος επικοινωνίας στο διαδίκτυο, βρίσκεστε για λίγο μια έκπληξη.
Την εβδομάδα αυτή, ο Neel Mehta, μέλος της ομάδας ασφάλειας της Google, ενημέρωσε την ομάδα ανάπτυξης στο OpenSSL ότι υπάρχει ένα exploit με το χαρακτηριστικό "heartbeat" του OpenSSL. Η Google ανακάλυψε το σφάλμα όταν συνεργάστηκε με την εταιρία ασφάλειας Codenomicon για να προσπαθήσει να σπάσει τους δικούς της διακομιστές. Μετά από την κοινοποίηση της Google, στις 7 Απριλίου, η ομάδα OpenSSL κυκλοφόρησε τη δική της Advisory Security μαζί με μια ενημερωμένη έκδοση κώδικα έκτακτης ανάγκης για το σφάλμα.
Το σφάλμα έχει ήδη παραδοθεί από τους αναλυτές ασφαλείας. Ο εμπειρογνώμονας ασφαλείας Bruce Schneier για τους κωδικούς πρόσβασης, τον απόρρητο και τον εμπειρογνώμονα ασφαλείας Trust Bruce Schneier σχετικά με τους κωδικούς πρόσβασης, την ιδιωτικότητα και την εμπιστοσύνη Μάθετε περισσότερα για την ασφάλεια και την ιδιωτικότητα στη συνέντευξή μας στον εμπειρογνώμονα ασφαλείας Bruce Schneier. Διαβάστε περισσότερα, επειδή χρησιμοποιεί τη δυνατότητα "καρδιάς" του OpenSSL για να ξεγελάσει ένα σύστημα που χρησιμοποιεί το OpenSSL για να αποκαλύψει ευαίσθητες πληροφορίες που μπορεί να αποθηκεύονται στη μνήμη του συστήματος. Ενώ πολλές από τις πληροφορίες που είναι αποθηκευμένες στη μνήμη μπορεί να μην έχουν μεγάλη αξία για τους χάκερς, το κόσμημα θα συλλαμβάνει τα πολύ κλειδιά που χρησιμοποιεί το σύστημα για την κρυπτογράφηση των επικοινωνιών 5 τρόποι για ασφαλή κρυπτογράφηση των αρχείων σας στο Cloud 5 τρόποι για την ασφαλή κρυπτογράφηση των αρχείων σας στο Cloud Τα αρχεία σας ενδέχεται να κρυπτογραφηθούν κατά τη μεταφορά και στους διακομιστές του cloud provider, αλλά η εταιρεία αποθήκευσης cloud μπορεί να τα αποκρυπτογραφήσει - και όποιος έχει πρόσβαση στον λογαριασμό σας μπορεί να δει τα αρχεία. Πελάτη-πλευρά ... Διαβάστε περισσότερα.
Μόλις ληφθούν τα κλειδιά, οι χάκερ μπορούν να αποκρυπτογραφήσουν τις επικοινωνίες και να καταγράψουν ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών και άλλα. Η μόνη απαίτηση για να αποκτήσετε αυτά τα ευαίσθητα κλειδιά είναι να καταναλώσετε τα κρυπτογραφημένα δεδομένα από το διακομιστή αρκετά για να καταγράψετε τα κλειδιά. Η επίθεση είναι ανιχνεύσιμη και δεν μπορεί να εντοπιστεί.
Το σφάλμα OpenSSL Heartbeat
Οι συνέπειες από αυτό το σφάλμα ασφαλείας είναι τεράστιες. Το OpenSSL δημιουργήθηκε για πρώτη φορά τον Δεκέμβριο του 2011 και γρήγορα έγινε μια κρυπτογραφική βιβλιοθήκη που χρησιμοποιείται από εταιρείες και οργανισμούς σε όλο το Διαδίκτυο για την κρυπτογράφηση ευαίσθητων πληροφοριών και επικοινωνιών. Είναι η κρυπτογράφηση που χρησιμοποιείται από τον εξυπηρετητή ιστού του Apache, ο οποίος στηρίζεται σχεδόν στο ήμισυ όλων των ιστότοπων στο Διαδίκτυο.
Σύμφωνα με την ομάδα OpenSSL, η τρύπα ασφαλείας προέρχεται από ένα ελάττωμα λογισμικού.
"Έλεγχος ελλείψεων στον χειρισμό της επέκτασης του καρδιακού παλμού TLS μπορεί να χρησιμοποιηθεί για να αποκαλύψει μέχρι 64k μνήμης σε έναν συνδεδεμένο πελάτη ή διακομιστή. Μόνο οι εκδόσεις 1.0.1 και 1.0.2-beta του OpenSSL επηρεάζονται συμπεριλαμβανομένων των 1.0.1f και 1.0.2-beta1. "
Χωρίς να αφήνουμε κανένα ίχνος στα αρχεία καταγραφής διακομιστών, οι χάκερ θα μπορούσαν να εκμεταλλευτούν αυτήν την αδυναμία για να αποκτήσουν κρυπτογραφημένα δεδομένα από μερικούς από τους πιο ευαίσθητους διακομιστές στο Διαδίκτυο, όπως διακομιστές web τραπεζών, διακομιστές εταιρειών πιστωτικών καρτών, ιστοσελίδες πληρωμής λογαριασμών και πολλά άλλα.
Ωστόσο, η πιθανότητα των χάκερ να αποκτήσουν τα μυστικά κλειδιά παραμένει υπό αμφισβήτηση, διότι ο Adam Langley, ένας ειδικός ασφαλείας της Google, δημοσίευσε στο Twitter ότι η δική του δοκιμή δεν έδειξε κάτι τόσο ευαίσθητο όσο τα μυστικά κλειδιά κρυπτογράφησης.
Η Security Advisory της στις 7 Απριλίου, η ομάδα OpenSSL συνέστησε την άμεση αναβάθμιση και μια εναλλακτική λύση για τους διαχειριστές διακομιστών που δεν μπορούν να αναβαθμίσουν.
"Οι χρήστες που επηρεάζονται πρέπει να αναβαθμίσουν στο OpenSSL 1.0.1g. Οι χρήστες που δεν μπορούν να αναβαθμίσουν άμεσα μπορούν εναλλακτικά να επανασυναρμολογήσουν το OpenSSL με -DOPENSSL_NO_HEARTBEATS. 1.0.2 θα καθοριστεί στο 1.0.2-beta2. "
Λόγω του πολλαπλασιασμού του OpenSSL σε όλο το Διαδίκτυο τα τελευταία δύο χρόνια, η πιθανότητα ανακοίνωσης της Google που οδηγεί σε επικείμενες επιθέσεις είναι αρκετά υψηλή. Ωστόσο, ο αντίκτυπος αυτών των επιθέσεων μπορεί να μετριαστεί από το γεγονός ότι πολλοί διαχειριστές διακομιστών και διαχειριστές ασφαλείας αναβαθμίζουν τα συστήματά τους στο OpenSSL 1.0.1g το συντομότερο δυνατό.
Πηγή: OpenSSL