Mark Lucas
0 
4003
536
Her zaman açık kaynak kodlu şifrelemenin çevrimiçi iletişim kurmanın en güvenli yolu olduğuna inanan insanlardan biriyseniz, biraz şaşırmışsınız demektir..
Bu hafta, Google’ın güvenlik ekibinin bir üyesi olan Neel Mehta, OpenSSL’deki geliştirme ekibine OpenSSL’nin bir istismarının mevcut olduğunu bildirdi. “kalp atışı” özellik. Google, kendi sunucularını kesmek için güvenlik şirketi Codenomicon ile çalışırken hatayı keşfetti. Google’ın bildiriminin ardından, 7 Nisan’da OpenSSL ekibi, hatanın acil durum yamasıyla birlikte kendi Güvenlik Danışmanlığını yayınladı..
Hata zaten takma adı verildi “Heartbleed” Güvenlik analistleri tarafından Güvenlik Uzmanı Bruce Schneier Şifreler, Gizlilik ve Güven Üzerine Güvenlik Uzmanı Bruce Schneier Şifreler, Gizlilik ve Güven Üzerine Güvenlik uzmanı Bruce Schneier ile yaptığımız röportajda güvenlik ve gizlilik hakkında daha fazla bilgi edinin. , çünkü OpenSSL’leri kullanıyor. “kalp atışı” OpenSSL çalıştıran bir sistemi, sistem belleğinde depolanabilecek hassas bilgileri ortaya çıkarmak için kandırma özelliği. Bellekte saklanan bilgilerin çoğu bilgisayar korsanları için fazla bir değere sahip olmasa da, gem, sistemin iletişimi şifrelemek için kullandığı anahtarları yakalayacaktır. 5 Dosyalarınızı Bulutta Güvenle Şifrelemenin 5 Yolu Bulut Dosyalarınız transit halindeyken ve bulut sağlayıcısının sunucularında şifrelenmiş olabilir, ancak bulut depolama şirketi şifresini çözebilir - ve hesabınıza erişen herkes dosyaları görüntüleyebilir. İstemci tarafı ... .
Anahtarlar elde edildiğinde, bilgisayar korsanları iletişimin şifresini çözebilir ve şifreler, kredi kartı numaraları ve daha fazlası gibi hassas bilgileri yakalayabilir. Bu hassas anahtarları elde etmenin tek şartı şifreli verileri sunucudan anahtarları yakalamak için yeterince uzun süre tüketmektir. Saldırı tespit edilemez ve izlenemez.
OpenSSL Heartbeat Bug
Bu güvenlik açığından kaynaklanan etkiler çok büyük. OpenSSL ilk olarak Aralık 2011'de kuruldu ve hızlı bir şekilde hassas bilgileri ve iletişimleri şifrelemek için Internet'teki şirketler ve kuruluşlar tarafından kullanılan bir şifreleme kütüphanesi haline geldi. İnternet'teki tüm web sitelerinin neredeyse yarısının kurulu olduğu Apache web sunucusu tarafından kullanılan şifrelemedir..
OpenSSL ekibine göre, güvenlik boşluğu bir yazılım hatasından geliyor.
“TLS kalp atışı uzantısının kullanımında eksik bir sınır kontrolü, bağlı bir istemciye veya sunucuya 64k'a kadar belleği ortaya çıkarmak için kullanılabilir. Yalnızca 1.0.1 ve 1.0.2-beta OpenSSL sürümleri, 1.0.1f ve 1.0.2-beta1 dahil olmak üzere etkilenir..”
Sunucu günlüklerinde herhangi bir iz bırakmadan, bilgisayar korsanları, banka web sunucuları, kredi kartı şirketi sunucuları, fatura ödeme web siteleri ve diğerleri gibi İnternet'teki en hassas sunuculardan bazılarında şifreli veriler elde etmek için bu zayıflıktan yararlanabilir..
Hackerların gizli anahtarları edinme olasılığı hala sorgulanmaya devam ediyor, çünkü bir Google güvenlik uzmanı olan Adam Langley Twitter akışına kendi testinin gizli şifreleme anahtarları kadar hassas bir şey getirmediğini bildirdi.
7 Nisan'daki Güvenlik Danışma Belgesi olan OpenSSL ekibi derhal yükseltme önerisi ve yükseltme yapamayan sunucu yöneticileri için alternatif bir düzeltme önerdi.
“Etkilenen kullanıcılar OpenSSL 1.0.1g'ye yükseltmelidir. Hemen yükseltme yapamayan kullanıcılar alternatif olarak OpenSSL'yi -DOPENSSL_NO_HEARTBEATS ile yeniden derleyebilir. 1.0.2, 1.0.2-beta2'de sabitlenecek.”
OpenSSL’nin son iki yıl boyunca İnternet’te yayılmasından dolayı, Google’ın ilan edilmesini engelleyen saldırılara neden olma olasılığı oldukça yüksektir. Ancak, bu saldırıların etkisi, birçok sunucu yöneticisi ve güvenlik yöneticisi şirket sistemlerini mümkün olan en kısa sürede OpenSSL 1.0.1g'ye yükseltirken azaltılabilir..
Kaynak: OpenSSL