Grote bug in OpenSSL brengt een groot deel van het internet in gevaar

Advertentie

Als jij een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, dan sta je voor een verrassing.

Deze week informeerde Neel Mehta, lid van het beveiligingsteam van Google, het ontwikkelingsteam op OpenSSL dat er een exploit bestaat met de "heartbeat" -functie van OpenSSL. Google ontdekte de bug tijdens het werken met beveiligingsbedrijf Codenomicon om te proberen zijn eigen servers te hacken. Na de melding van Google bracht het OpenSSL-team op 7 april hun eigen team uit Beveiligingsadvies samen met een noodpatch voor de bug.

De bug heeft al de bijnaam "Heartbleed" gekregen door beveiligingsanalisten Beveiligingsexpert Bruce Schneier over wachtwoorden, privacy en vertrouwenLees meer over beveiliging en privacy in ons interview met beveiligingsexpert Bruce Schneier. Lees verder , omdat het gebruik maakt van de "heartbeat" -functie van OpenSSL om een ​​systeem met OpenSSL ertoe te verleiden gevoelige informatie te onthullen die mogelijk in het systeemgeheugen is opgeslagen. Hoewel veel van de in het geheugen opgeslagen informatie voor hackers misschien niet veel waard is, zou het juweel de sleutels vastleggen die het systeem gebruikt om

communicatie coderen 5 manieren om uw bestanden veilig in de cloud te versleutelenUw bestanden kunnen tijdens het transport en op de servers van de cloudprovider worden gecodeerd, maar het cloudopslagbedrijf kan ze decoderen - en iedereen die toegang krijgt tot uw account, kan de bestanden bekijken. Kant van de cliënt... Lees verder .

Zodra de sleutels zijn verkregen, kunnen hackers de communicatie decoderen en gevoelige informatie vastleggen, zoals wachtwoorden, creditcardnummers en meer. De enige vereiste om die gevoelige sleutels te verkrijgen, is om de gecodeerde gegevens van de server lang genoeg te verbruiken om de sleutels vast te leggen. De aanval is niet detecteerbaar en onvindbaar.

De OpenSSL Heartbeat Bug

De gevolgen van deze beveiligingsfout zijn enorm. OpenSSL werd voor het eerst opgericht in december 2011 en werd al snel een cryptografische bibliotheek die werd gebruikt door bedrijven en organisaties over het hele internet om gevoelige informatie te versleutelen en communicatie. Het is de codering die wordt gebruikt door de Apache-webserver, waarop bijna de helft van alle websites op internet is gebouwd.

Volgens het OpenSSL-team komt het beveiligingslek door een softwarefout.

“Een controle van ontbrekende grenzen bij de afhandeling van de TLS-hartslagextensie kan worden gebruikt om tot 64k geheugen vrij te geven aan een aangesloten client of server. Alleen 1.0.1- en 1.0.2-bètaversies van OpenSSL worden getroffen, waaronder 1.0.1f en 1.0.2-bèta1. "

Zonder enig spoor achter te laten op serverlogboeken, zouden hackers deze zwakte kunnen misbruiken om versleutelde gegevens van een deel van de meest gevoelige servers op het internet, zoals webservers van banken, servers van creditcardmaatschappijen, websites voor het betalen van rekeningen en meer.

De kans dat hackers de geheime sleutels verkrijgen, blijft echter in twijfel, omdat Adam Langley, een beveiligingsexpert van Google, op zijn Twitter-stream dat zijn eigen testen niets zo gevoelig hebben opgeleverd als geheime coderingssleutels.

Het is zijn beveiligingsadvies op 7 april, het OpenSSL-team heeft een onmiddellijke upgrade aanbevolen en een alternatieve oplossing voor serverbeheerders die niet kunnen upgraden.

'Getroffen gebruikers moeten upgraden naar OpenSSL 1.0.1g. Gebruikers die niet onmiddellijk kunnen upgraden, kunnen OpenSSL ook hercompileren met -DOPENSSL_NO_HEARTBEATS. 1.0.2 wordt opgelost in 1.0.2-beta2. "

Vanwege de snelle verspreiding van OpenSSL op het internet in de afgelopen twee jaar, is de kans groot dat de aankondiging van Google tot aanstaande aanvallen leidt. De impact van die aanvallen kan echter worden verzacht doordat zoveel serverbeheerders en beveiligingsmanagers hun bedrijfssystemen zo snel mogelijk upgraden naar OpenSSL 1.0.1g.

Bron: OpenSSL