Помилка Ssl загрожує безпечній комунікації

SSL, короткий для шару захищених сокетів, - це те, що додає S в HTTPS. Кмітливі користувачі знають шукати HTTPS в адресному рядку, перш ніж вводити будь-яку конфіденційну інформацію на веб-сайті. У наших публікаціях SecurityWatch часто обробляють програми Android, які передають особисті дані без використання SSL. На жаль, нещодавно виявлена ​​помилка "Heartbleed" дозволяє зловмисникам перехоплювати захищені SSL зв'язку.

Помилка називається Heartbleed, тому що вона повертається до функції, званої heartbeat, впливає на конкретні версії широко використовуваної криптографічної бібліотеки OpenSSL. За даними веб-сайту, створеного для звітності про Heartbleed, сукупна частка ринку двох найбільших веб-серверів з відкритим кодом, що використовують OpenSSL, становить понад 66 відсотків. OpenSSL також використовується для захисту електронної пошти, серверів чату, VPN та "широкого спектру клієнтського програмного забезпечення". Це всюди.

Це погано, дійсно погано

Зловмисник, скориставшись цією помилкою, отримує можливість читати дані, що зберігаються в пам'яті сервера, включаючи всі важливі ключі шифрування. Імена та паролі користувачів та сукупність зашифрованого вмісту також можуть бути захоплені. За даними сайту, "Це дозволяє зловмисникам підслуховувати комунікації, красти дані безпосередньо у служб і користувачів, а також видавати себе за послуги та користувачів".

На сайті далі зазначається, що захоплення секретних ключів "дозволяє зловмиснику розшифрувати будь-який минулий і майбутній трафік до захищених служб". Єдине рішення - оновити найновішу версію OpenSSL, відкликати викрадені ключі та видавати нові ключі. Навіть тоді, якщо зловмисник перехопив і зберігав зашифрований трафік у минулому, захоплені ключі розшифрують його.

Що можна зробити

Цю помилку виявили незалежно дві різні групи, пара дослідників Codenomicon та дослідник безпеки Google. Їх переконання полягає в тому, що OpenSSL випустить версію, яка повністю відключає функцію серцебиття. З цією новою редакцією вразливі установки можуть бути виявлені, оскільки лише вони реагуватимуть на сигнал серцебиття, дозволяючи "широкомасштабному скоординованому реагуванню дістатися до власників уразливих служб".

Спільнота безпеки сприймає цю проблему серйозно. Ви знайдете примітки про це, наприклад, на веб-сайті US-CERT (Команда готовності до комп'ютерної готовності до США). Ви можете протестувати власні сервери тут, щоб побачити, чи є вони вразливими.

На жаль, у цій історії немає щасливого кінця. Атака не залишає слідів, тож навіть після того, як веб-сайт вирішить проблему, немає жодного повідомлення про те, чи шахраї доторкнулися до приватних даних. За даними веб-сайту Heartbleed, IPS (система запобігання вторгненням) буде важко відрізнити атаку від регулярного зашифрованого трафіку. Я не знаю, чим закінчується ця історія; Я відзвітуюся, коли є що сказати.