Als u een van die mensen bent die altijd heeft geloofd dat open source-cryptografie de veiligste manier is om online te communiceren, wacht u een beetje een verrassing.
Deze week informeerde Neel Mehta, lid van het beveiligingsteam van Google, het ontwikkelingsteam bij OpenSSL dat er een exploit bestaat met de "heartbeat" -functie van OpenSSL. Google ontdekte de bug bij het werken met beveiligingsbedrijf Codenomicon om zijn eigen servers te proberen te hacken. Na de kennisgeving van Google bracht het OpenSSL-team op 7 april hun eigen beveiligingsadvies uit, samen met een noodflap voor de bug.
De bug heeft de bijnaam "Heartbleed" gekregen van beveiligingsanalisten Security Expert Bruce Schneier On Passwords, Privacy en Trust Security Expert Bruce Schneier Over wachtwoorden, privacy en vertrouwen Lees meer over beveiliging en privacy in ons interview met beveiligingsdeskundige Bruce Schneier. Read More, omdat het gebruik maakt van de "heartbeat" -functie van OpenSSL om een systeem dat OpenSSL draait, te misleiden tot gevoelige informatie die mogelijk in het systeemgeheugen is opgeslagen. Hoewel veel van de informatie die in het geheugen is opgeslagen mogelijk niet van grote waarde is voor hackers, zou de edelsteen de eigenlijke sleutels die het systeem gebruikt voor het coderen van de communicatie coderen. 5 manieren om uw bestanden veilig te versleutelen in de cloud 5 manieren om uw bestanden veilig te versleutelen in de Cloud Uw bestanden kunnen tijdens het transport en op de servers van de cloudaanbieder versleuteld zijn, maar het cloudopslagbedrijf kan ze ontsleutelen en iedereen die toegang heeft tot uw account, kan de bestanden bekijken. Client-side ... Lees meer.
Zodra de sleutels zijn verkregen, kunnen hackers vervolgens de communicatie ontsleutelen en gevoelige informatie vastleggen, zoals wachtwoorden, creditcardnummers en meer. De enige vereiste om die gevoelige sleutels te verkrijgen, is om de gecodeerde gegevens van de server lang genoeg te consumeren om de sleutels vast te leggen. De aanval is niet op te sporen en niet op te sporen.
De OpenSSL Heartbeat-bug
De vertakkingen van deze beveiligingsfout zijn enorm. OpenSSL werd voor het eerst opgericht in december 2011 en het werd al snel een cryptografische bibliotheek die door bedrijven en organisaties overal op internet wordt gebruikt om gevoelige informatie en communicatie te coderen. Het is de codering die wordt gebruikt door de Apache-webserver, waarvan bijna de helft van alle websites op het internet is gebouwd.
Volgens het OpenSSL-team komt het beveiligingslek door een softwareprobleem.
"Een ontbrekende grenscontrole in de afhandeling van de TLS heartbeat-extensie kan worden gebruikt om tot 64 k geheugen te onthullen aan een verbonden client of server. Alleen 1.0.1 en 1.0.2-beta releases van OpenSSL worden beïnvloed, inclusief 1.0.1f en 1.0.2-beta1. "
Zonder sporen na te laten in serverlogboeken, zouden hackers deze zwakke plek kunnen misbruiken om gecodeerde gegevens te verkrijgen van enkele van de meest gevoelige servers op internet, zoals bankwebservers, creditcardservers, betaalwebsites voor facturering en meer.
De kans dat hackers de geheime sleutels verkrijgen, blijft echter in het geding, omdat Adam Langley, een Google-beveiligingsdeskundige, op zijn Twitter-stream heeft gepost dat zijn eigen testen niet zo gevoelig zijn als geheime coderingssleutels.
Het is zijn beveiligingsadvies op 7 april, het OpenSSL-team heeft een onmiddellijke upgrade aanbevolen en een alternatieve oplossing voor serverbeheerders die niet kunnen upgraden.
"Betrokken gebruikers moeten upgraden naar OpenSSL 1.0.1g. Gebruikers die niet onmiddellijk kunnen upgraden, kunnen OpenSSL op een andere manier hercompileren met -DOPENSSL_NO_HEARTBEATS. 1.0.2 wordt opgelost in 1.0.2-beta2. "
Vanwege de verspreiding van OpenSSL op internet gedurende de afgelopen twee jaar is de kans groot dat de aankondiging van Google leidt tot dreigende aanvallen. De impact van die aanvallen kan echter worden beperkt door zo veel mogelijk serverbeheerders en beveiligingsmanagers die hun bedrijfssystemen zo snel mogelijk upgraden naar OpenSSL 1.0.1g.
Bron: OpenSSL