Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Ноември 2024)
SSL, съкратено за слой за сигурни сокети, е това, което поставя S в HTTPS. Находчивите потребители знаят да търсят HTTPS в адресната лента, преди да въведат всяка чувствителна информация на уебсайт. Нашите публикации в SecurityWatch често карат приложения за Android, които предават лични данни, без да използват SSL. Уви, наскоро откритата грешка "Heartbleed" позволява на нападателите да прехващат SSL-защитена комуникация.
Грешката се нарича Heartbleed, тъй като тя се връща към функция, наречена сърцебиене, засяга специфични версии на широко използваната криптографска библиотека OpenSSL. Според уебсайта, който е създаден да докладва за Heartbleed, комбинираният пазарен дял на двата най-големи уеб сървъра с отворен код, използващи OpenSSL, е над 66 процента. OpenSSL се използва и за защита на имейл, чат сървъри, VPN и "голямо разнообразие от клиентски софтуер." Навсякъде е така.
Лошо е, наистина е лошо
Нападателят, възползвайки се от тази грешка, придобива способността да чете данни, съхранявани в паметта на засегнатия сървър, включително всички важни ключове за криптиране. Имената и паролите на потребителите и цялото криптирано съдържание също могат да бъдат заснети. Според сайта "Това позволява на нападателите да подслушват комуникациите, да открадват данни директно от услугите и потребителите и да се представят за услуги и потребители."
Сайтът продължава да отбелязва, че заснемането на секретни ключове "позволява на нападателя да декриптира всеки минал и бъдещ трафик към защитените услуги." Единственото решение е да се актуализира до най-новата версия на OpenSSL, да се оттеглят откраднатите ключове и да се издават нови ключове. Дори и тогава, ако в миналото нападателят прихване и съхранява криптиран трафик, заловените ключове ще го декриптират.
Какво може да се направи
Този бъг беше открит независимо от две различни групи, двойка изследователи от Codenomicon и изследовател по сигурността на Google. Силното им предложение е OpenSSL да пусне версия, която напълно деактивира функцията на сърцето. С това ново издание може да се открият уязвими инсталации, тъй като само те ще реагират на сигнала на сърцето, което позволява "широкомащабен координиран отговор да достигне до собствениците на уязвими услуги."
Общността на сигурността се отнася сериозно към този проблем. Можете да намерите бележки за това например на уебсайта на US-CERT (Съединените щати за компютърна готовност за спешни случаи). Можете да тествате собствените си сървъри тук, за да видите дали те са уязвими.
Уви, няма щастлив край на тази история. Атаката не оставя следи, така че дори и след като уебсайт отстрани проблема, няма информация дали мошениците са подслушвали лични данни. Според уебсайта Heartbleed би било трудно за IPS (система за предотвратяване на проникване) да различи атаката от редовен криптиран трафик. Не знам как завършва тази история; Ще докладвам, когато има какво да кажа.