Если вы один из тех людей, которые всегда считали, что криптография с открытым исходным кодом является наиболее безопасным способом общения в Интернете, вас ждет небольшой сюрприз.
На этой неделе Нил Мехта (Neel Mehta), член группы безопасности Google, сообщил команде разработчиков OpenSSL, что существует уязвимость с функцией «сердцебиения» в OpenSSL. Google обнаружил ошибку при работе с охранной фирмой Codenomicon, пытаясь взломать свои собственные серверы. После уведомления Google, 7 апреля, команда OpenSSL выпустила собственную рекомендацию по безопасности вместе с экстренным патчем для исправления ошибки.
Аналитики по безопасности уже дали багу прозвище «Heartbleed»
потому что он использует функцию «сердцебиения» OpenSSL, чтобы обмануть систему, на которой работает OpenSSL, в раскрытие конфиденциальной информации, которая может храниться в системной памяти. Хотя большая часть информации, хранящейся в памяти, может не иметь большого значения для хакеров, драгоценный камень будет захватывать те самые ключи, которые система использует для шифрования сообщений
,
После того, как ключи получены, хакеры могут расшифровать сообщения и получить конфиденциальную информацию, такую как пароли, номера кредитных карт и многое другое. Единственное требование для получения этих чувствительных ключей — это использовать зашифрованные данные с сервера достаточно долго для захвата ключей. Атака не обнаруживается и не отслеживается.
Ошибка сердцебиения OpenSSL
Последствия этого недостатка безопасности огромны. OpenSSL был впервые создан в декабре 2011 года и быстро превратился в криптографическую библиотеку, используемую компаниями и организациями по всему Интернету для шифрования конфиденциальной информации и сообщений. Это шифрование, используемое веб-сервером Apache, на котором построено почти половина всех веб-сайтов в Интернете.
По словам команды OpenSSL, дыра в безопасности связана с недостатком программного обеспечения.
«Проверка пропущенных границ при обработке расширения пульса TLS может использоваться для обнаружения до 64 КБ памяти подключенному клиенту или серверу. Это касается только 1.0.1 и 1.0.2-бета-версий OpenSSL, включая 1.0.1f и 1.0.2-бета1 ».
Не оставляя следов в журналах серверов, хакеры могут использовать эту уязвимость для получения зашифрованных данных с некоторых из наиболее чувствительных серверов в Интернете, таких как банковские веб-серверы, серверы компаний-эмитентов кредитных карт, сайты оплаты счетов и многое другое.
Вероятность того, что хакеры получат секретные ключи, остается под вопросом, потому что Адам Лэнгли, эксперт по безопасности Google, сообщил в своем твиттере, что его собственное тестирование не обнаружило ничего более чувствительного, чем секретные ключи шифрования.
В своем сообщении по безопасности от 7 апреля команда OpenSSL рекомендовала немедленное обновление и альтернативное исправление для администраторов серверов, которые не могут выполнить обновление.
«Затронутые пользователи должны перейти на OpenSSL 1.0.1g. Пользователи, не имеющие возможности немедленного обновления, могут альтернативно перекомпилировать OpenSSL с -DOPENSSL_NO_HEARTBEATS. 1.0.2 будет исправлено в 1.0.2-бета2 ».
Из-за распространения OpenSSL в Интернете в течение последних двух лет вероятность объявления Google, приводящего к надвигающимся атакам, довольно высока. Однако влияние этих атак может быть смягчено как можно большим количеством администраторов серверов и менеджеров безопасности, которые в кратчайшие сроки обновят свои корпоративные системы до OpenSSL 1.0.1g.
Источник: OpenSSL
