Video: VERBALNA I NEVERBALNA KOMUNIKACIJA (Oktober 2024)
SSL, kratek za sloj varnih vtičnic, je tisto, kar S postavlja v HTTPS. Zmogljivi uporabniki vedo, da iščejo HTTPS v naslovni vrstici, preden na spletno mesto vnesejo občutljive podatke. Naše varnostno-varnostne objave pogosto ponarejajo aplikacije za Android, ki prenašajo osebne podatke brez uporabe SSL-ja. Žal, nedavno odkrita hrošča "Heartbleed" omogočajo napadalcem prestrezanje SSL zaščitene komunikacije.
Hrošč se imenuje Heartbleed, ker se ponaša s funkcijo, imenovano heartbeat, vpliva na posebne različice široko uporabljane kriptografske knjižnice OpenSSL. Glede na spletno stran, ki je bila ustvarjena za poročanje o Heartbleedu, je skupni tržni delež dveh največjih odprtokodnih spletnih strežnikov, ki uporabljajo OpenSSL, več kot 66 odstotkov. OpenSSL se uporablja tudi za zaščito e-pošte, strežnikov za klepete, VPN-jev in "široko paleto odjemalske programske opreme." Vsepovsod je.
Hudo, resnično slabo
Napadalec, ki izkoristi to napako, pridobi sposobnost branja podatkov, shranjenih v pomnilniku prizadetega strežnika, vključno z vse pomembnimi šifrirnimi ključi. Lahko se zajamejo tudi imena in gesla uporabnikov ter celota šifrirane vsebine. Po navedbi spletnega mesta "To omogoča napadalcem, da prisluhnejo komunikacijam, kradejo podatke neposredno iz storitev in uporabnikov ter lažno predstavljajo storitve in uporabnike."
Spletno mesto nadaljuje, da zajem tajnih ključev "napadalcu omogoča dešifriranje vsakega preteklega in prihodnjega prometa za zaščitene storitve." Edina rešitev je posodobitev najnovejše različice OpenSSL, preklic ukradenih ključev in izdajanje novih ključev. Tudi če je napadalec v preteklosti prestregel in shranil šifriran promet, ga bodo ujeti ključi dešifrirali.
Kaj je mogoče storiti
To napako sta neodvisno odkrili dve različni skupini, par raziskovalcev iz Codenomicon-a in Googlov raziskovalec varnosti. Njihov močan predlog je, da OpenSSL izda različico, ki popolnoma onemogoči funkcijo bitja srca. Z uvedbo nove izdaje bi bilo mogoče zaznati ranljive naprave, ker bi se le oni odzvali na signal srčnega utripa, kar bi omogočilo "usklajen odziv v velikem obsegu, da bi dosegel lastnike ranljivih storitev."
Varnostna skupnost jemlje to težavo resno. Opombe boste našli na primer na spletni strani US-CERT (Združene države za računalniško pripravljenost na računalniško pomoč v sili). Tu lahko preizkusite svoje lastne strežnike in preverite, ali so ranljivi.
Žal, v tej zgodbi ni srečnega konca. Napad ne pušča sledi, zato tudi potem, ko spletno mesto odpravi težavo, ne vemo, ali so prevaranti prisluhnili zasebnim podatkom. Glede na spletno stran Heartbleed bi IPS (sistem preprečevanja vdorov) težko razlikoval napad od običajnega šifriranega prometa. Ne vem, kako se konča ta zgodba; Poročil bom nazaj, ko bom povedal še kaj.
