פרסומת
אם אתה אחד מאותם אנשים שתמיד האמנת שקריפטוגרפיה בקוד פתוח היא הדרך הבטוחה ביותר לתקשר באופן מקוון, אתה אמור להפתיע קצת.
השבוע הודיע ניל מהטה, חבר צוות האבטחה של גוגל, לצוות הפיתוח בכתובת OpenSSL כי קיים ניצול עם התכונה "פעימות לב" של OpenSSL. גוגל גילה את הבאג כשעבדה עם חברת האבטחה Codenomicon כדי לנסות לפרוץ את השרתים שלה. בעקבות ההודעה של גוגל, ב- 7 באפריל, צוות OpenSSL שיחרר את שלהם ייעוץ ביטחוני יחד עם תיקון חירום לבאג.
הבאג כבר קיבל את הכינוי "Heartbleed" על ידי אנליסטים ביטחוניים מומחה האבטחה ברוס שנייר בנושא סיסמאות, פרטיות ואמוןלמידע נוסף על אבטחה ופרטיות בראיון שלנו עם מומחה האבטחה ברוס שנייר. קרא עוד מכיוון שהיא משתמשת בתכונה "פעימות הלב" של OpenSSL כדי להערים על מערכת שמפעילה את OpenSSL לחשוף מידע רגיש שעשוי להיות מאוחסן בזיכרון המערכת. בעוד שחלק גדול מהמידע המאוחסן בזיכרון עשוי לא להיות בעל ערך רב להאקרים, אבני החן היו לוכדות את עצם המפתחות שבהם המערכת משתמשת להצפין תקשורת 5 דרכים להצפנה מאובטחת של הקבצים שלך בענןהקבצים שלך עשויים להיות מוצפנים במעבר ובשרתי ספק הענן, אך חברת אחסון הענן יכולה לפענח אותם - וכל מי שיקבל גישה לחשבונך יכול להציג את הקבצים. צד הלקוח... קרא עוד .
לאחר השגת המפתחות, האקרים יכולים אז לפענח תקשורת ולתפוס מידע רגיש כמו סיסמאות, מספרי כרטיסי אשראי ועוד. הדרישה היחידה להשיג את אותם מפתחות רגישים היא לצרוך את הנתונים המוצפנים מהשרת מספיק זמן כדי לתפוס את המפתחות. ההתקפה אינה ניתנת לגילוי ולא ניתנת למעקב.
באג פעימות הלב של OpenSSL
ההשלכות מפגם אבטחה זה עצומות. OpenSSL הוקמה לראשונה בדצמבר 2011, והיא הפכה במהרה לספרייה קריפטוגרפית בה נעשה שימוש על ידי חברות וארגונים ברחבי האינטרנט כדי להצפין מידע רגיש ו תקשורת. זהו ההצפנה שמשתמשת בשרת האינטרנט של אפאצ'י, שכמעט מחצית מכל אתרי האינטרנט מבוססים עליו.
לדברי צוות OpenSSL, חור האבטחה נובע מפגם בתוכנה.
"ניתן להשתמש בבדיקת גבולות חסרה בטיפול בהרחבת פעימות הלב של TLS כדי לחשוף עד 64k זיכרון ללקוח או לשרת מחובר. רק גרסאות 1.0.1 ו- 1.0.2-beta של OpenSSL מושפעות כולל 1.0.1f ו- 1.0.2-beta1. "
מבלי להשאיר עקבות ביומני שרתים, האקרים יכולים לנצל את החולשה הזו כדי להשיג נתונים מוצפנים מכמה השרתים הרגישים ביותר באינטרנט, כמו שרתי אינטרנט בנקאיים, שרתי חברות כרטיסי אשראי, אתרי תשלומי חיוב, ו יותר.
הסבירות שהאקרים יקבלו את המפתחות הסודיים עדיין נותרה בספק, מכיוון שאדם לנגלי, מומחה אבטחה של גוגל, פרסם בפני זרם הטוויטר שלו שהבדיקה שלו לא העלתה דבר רגיש כמו מפתחות הצפנה סודית.
על פי ייעוץ האבטחה שלו ב- 7 באפריל, צוות OpenSSL המליץ על שדרוג מיידי ותיקון חלופי למנהלי שרתים שלא יכולים לשדרג.
"על המשתמשים המושפעים לשדרג ל- OpenSSL 1.0.1g. משתמשים שאינם יכולים לשדרג מייד יכולים לחלום מחדש את OpenSSL עם -DOPENSSL_NO_HEARTBEATS. 1.0.2 יתוקן ב- 1.0.2-beta2. "
בשל התפשטות OpenSSL ברחבי האינטרנט בשנתיים האחרונות, הסבירות שההודעה של גוגל תוביל להתקפות הממשמש ובא היא גבוהה למדי. עם זאת, ניתן להפחית את השפעתן של התקפות אלו על ידי מנהלי שרתים רבים ומנהלי אבטחה המשדרגים את מערכות החברה שלהם ל- OpenSSL 1.0.1g בהקדם האפשרי.
מקור: OpenSSL
לראיין תואר ראשון בהנדסת חשמל. הוא עבד 13 שנה בהנדסת אוטומציה, 5 שנים בתחום ה- IT, וכעת הוא מהנדס אפליקציות. כעורך מנהל לשעבר של MakeUseOf, הוא דיבר בכנסים ארציים להמחשת נתונים והופיע בטלוויזיה וברדיו הארציים.