Video: SSL, TLS, HTTP, HTTPS объяснил (Oktober 2024)
SSL, forkortelse for Secure Sockets Layer, er det som setter S i HTTPS. Kyndige brukere vet å lete etter HTTPS i adressefeltet før de legger inn sensitiv informasjon på et nettsted. Våre SecurityWatch-innlegg tukter ofte Android-apper som overfører personopplysninger uten å bruke SSL. Akk, den nylig oppdagede "Heartbleed" -feilen lar angripere fange SSL-beskyttet kommunikasjon.
Feilen kalles Heartbleed fordi den gir seg tilbake på en funksjon som heter hjerterytme, påvirker spesifikke versjoner av det mye brukte OpenSSL kryptografiske biblioteket. Ifølge nettstedet som ble opprettet for å rapportere om Heartbleed, er den samlede markedsandelen til de to største open source webserverne som bruker OpenSSL mer enn 66 prosent. OpenSSL brukes også til å sikre e-post, chat-servere, VPN-er og "et bredt utvalg av klientprogramvare." Det er over alt.
Det er dårlig, virkelig dårlig
En angriper som utnytter denne feilen, får muligheten til å lese data som er lagret i den berørte serverens minne, inkludert alle viktige krypteringsnøkler. Navn og passord for brukere og helheten til det krypterte innholdet kan også fanges opp. I følge nettstedet, "Dette gjør det mulig for angripere å avlyse kommunikasjon, stjele data direkte fra tjenestene og brukerne og å etterligne tjenester og brukere."
Nettstedet fortsetter å merke seg at fange hemmelige nøkler "lar angriperen dekryptere all tidligere og fremtidig trafikk til de beskyttede tjenestene." Den eneste løsningen er å oppdatere til den aller nyeste versjonen av OpenSSL, tilbakekalle de stjålne nøklene og utstede nye nøkler. Selv da angriperen snappet opp og lagret kryptert trafikk i det siste, vil de fangede tastene dekryptere den.
Hva kan bli gjort
Denne feilen ble oppdaget uavhengig av to forskjellige grupper, et par forskere fra Codenomicon og en sikkerhetsforsker fra Google. Deres sterke forslag er at OpenSSL gir ut en versjon som fullstendig deaktiverer hjerterytmen. Når den nye utgaven ble lansert, kunne sårbare installasjoner bli oppdaget fordi bare de ville svare på hjerteslagssignalet, slik at "koordinert respons i stor skala kan nå eiere av sårbare tjenester."
Sikkerhetssamfunnet tar dette problemet på alvor. Du finner notater om det på nettstedet US-CERT (United States Computer Emergency Readiness Team), for eksempel. Du kan teste dine egne servere her for å se om de er sårbare.
Akk, det er ingen lykkelig slutt på denne historien. Angrepet etterlater ingen spor, så selv etter at en nettside har løst problemet, vet det ikke om kjeltringer har tappet private data. I følge nettstedet Heartbleed vil det være vanskelig for et IPS (Intrusion Prevention System) å skille angrepet fra vanlig kryptert trafikk. Jeg vet ikke hvordan denne historien ender; Jeg rapporterer tilbake når det er mer å fortelle.
