Hvis du er en af de mennesker, der altid har troet, at open source kryptografi er den mest sikre måde at kommunikere online på, er du ind for en smule overraskelse.
I denne uge informerede Neel Mehta, et medlem af Googles sikkerhedshold, udviklings teamet på OpenSSL om, at der er en udnyttelse med OpenSSLs "heartbeat" -funktion. Google opdagede fejlen, når han arbejdede med sikkerhedsfirmaet Codenomicon for at prøve at hakke sine egne servere. Efter Googles anmeldelse offentliggjorde OpenSSL-teamet den 7. april deres egen sikkerhedsrådgivning sammen med en nødopdatering til fejlen.
Fejlen har allerede fået kaldenavnet "Heartbleed" af sikkerhedsanalytikere Security Expert Bruce Schneier om adgangskoder, sikkerhedspersonale og tillidssikkerhedsekspert Bruce Schneier om adgangskoder, privatliv og tillid Lær mere om sikkerhed og privatliv i vores interview med sikkerhedsekspert Bruce Schneier. Læs mere, fordi det udnytter OpenSSLs "heartbeat" -funktion til at narre et system, der kører OpenSSL, til at afsløre følsomme oplysninger, der kan gemmes i systemhukommelsen. Mens meget af de oplysninger, der er gemt i hukommelsen, muligvis ikke har stor værdi for hackere, ville perlen registrere de nøgler, som systemet bruger til at kryptere kommunikation. 5 måder til sikkert at kryptere dine filer i skyen. 5 måder til sikkert at kryptere dine filer i Cloud Dine filer kan krypteres i transit og på cloud-udbyderens servere, men cloud storage-firmaet kan dekryptere dem - og enhver, der får adgang til din konto, kan se filerne. Client-side ... Læs mere.
Når nøglerne er opnået, kan hackere derefter dekryptere kommunikation og indfange følsomme oplysninger som adgangskoder, kreditkortnumre og meget mere. Det eneste krav til at få de følsomme nøgler er at forbruge de krypterede data fra serveren, der længe nok er til at fange nøglerne. Angrebet er uopdageligt og untraceable.
OpenSSL Heartbeat Bug
Forholdene fra denne sikkerhedsfejl er enorme. OpenSSL blev først oprettet i december 2011, og det blev hurtigt et kryptografisk bibliotek, der blev brugt af virksomheder og organisationer over hele internettet til at kryptere følsomme oplysninger og kommunikation. Det er krypteringen, der udnyttes af Apache webserveren, som næsten halvdelen af alle websteder på internettet er bygget på.
Ifølge OpenSSL-teamet kommer sikkerhedshullet fra en softwarefejl.
"En manglende grænse check i håndteringen af TLS hjerteslag forlængelsen kan bruges til at afsløre op til 64k hukommelse til en tilsluttet klient eller server. Kun 1.0.1 og 1.0.2-beta udgivelser af OpenSSL påvirkes, herunder 1.0.1f og 1.0.2-beta1. "
Uden at efterlade spor på serverlogfiler kunne hackere udnytte denne svaghed for at opnå krypterede data fra nogle af de mest følsomme servere på internettet, som bankwebservere, kreditkortselskabets servere, betalingsbetalingswebsteder og meget mere.
Sandsynligheden for, at hackere får de hemmelige nøgler, er imidlertid stadig i tvivl, fordi Adam Langley, en sikkerhedsekspert fra Google, skrev til sin Twitter-stream, at hans egen test ikke viste noget så følsomt som hemmelige krypteringsnøgler.
Det er dets sikkerhedsrådgivning den 7. april, og OpenSSL-teamet anbefalede en øjeblikkelig opgradering og en alternativ løsning til serveradministratorer, der ikke kan opgradere.
"Berørte brugere skal opgradere til OpenSSL 1.0.1g. Brugere, der ikke kan opgradere øjeblikkeligt, kan alternativt genkompilere OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 vil blive fastsat i 1.0.2-beta2. "
På grund af udbredelsen af OpenSSL i hele internettet i løbet af de sidste to år er sandsynligheden for, at Google-meddelelsen fører til forestående angreb, ret høj. Effekten af disse angreb kan dog afhjælpes af så mange serveradministratorer og sikkerhedsansvarlige, som opgraderer deres virksomhedssystemer til OpenSSL 1.0.1g så hurtigt som muligt.
Kilde: OpenSSL