Videó: SSL Certificate Error Fix [Tutorial] (November 2024)
Az SSL, a Secure Sockets Layer rövidítése, az adja az S-t a HTTPS-hez. A hozzáértéses felhasználók tudják, hogy a HTTPS-t a címsorban keressék meg, mielőtt bármilyen érzékeny információt megadnának a webhelyre. A SecurityWatch-hozzászólásaink gyakran zaklatják azokat az Android-alkalmazásokat, amelyek SSL használata nélkül továbbítják a személyes adatokat. Sajnos, a nemrégiben felfedezett "Heartbleed" hiba lehetővé teszi a támadóknak, hogy elfogják az SSL-védett kommunikációt.
A hibát Heartbleed-nek hívják, mert a szívverésnek nevezett szolgáltatás piggybacks-jét befolyásolja, és a széles körben használt OpenSSL kriptográfiai könyvtár meghatározott verzióit érinti. A Heartbleed beszámolására létrehozott weboldal szerint az OpenSSL-t használó két legnagyobb nyílt forrású webszerver együttes piaci részesedése több mint 66 százalék. Az OpenSSL-t e-mailek, csevegőszerverek, VPN-k és "sokféle kliens szoftver" biztonságára is használják. Mindenhol ott van.
Rossz, nagyon rossz
A támadó, aki ezt a hibát kihasználja, megszerezheti az érintett szerver memóriájában tárolt adatok beolvasásának képességét, beleértve az összes fontos titkosítási kulcsot. A felhasználók neve és jelszava, valamint a titkosított tartalom összessége szintén rögzíthető. A webhely szerint "Ez lehetővé teszi a támadók számára, hogy hallgassák meg a kommunikációt, ellopják az adatokat közvetlenül a szolgáltatásoktól és a felhasználóktól, és megszemélyesítsék a szolgáltatásokat és a felhasználókat."
A webhely megemlíti továbbá, hogy a titkos kulcsok elfogása "lehetővé teszi a támadó számára a védett szolgáltatásokhoz kapcsolódó korábbi és jövőbeli forgalom visszafejtését". Az egyetlen megoldás az OpenSSL legújabb verziójára való frissítés, az ellopott kulcsok visszavonása és új kulcsok kiadása. Még akkor is, ha a támadó a múltban elfogta és tárolta a titkosított forgalmat, a rögzített kulcsok visszafejti azt.
Mit lehet tenni
Ezt a hibát két különböző csoport, a Codenomicon kutatói és a Google biztonsági kutatója, függetlenül fedezte fel. Erõsen azt javasolják, hogy az OpenSSL kiadjon egy verziót, amely teljesen letiltja a szívverés funkciót. Az új kiadás bevezetésével érzékeny telepítéseket lehet észlelni, mivel csak ezek reagálnak a pulzusjelre, lehetővé téve a „nagyszabású összehangolt reakciót a kiszolgáltatott szolgáltatások tulajdonosai számára”.
A biztonsági közösség komolyan veszi ezt a problémát. Megjegyzéseket talál erről például az US-CERT (Egyesült Államok számítógépes vészhelyzeti készenléti csapata) webhelyen. Itt kipróbálhatja saját szervereit, hogy megbizonyosodjon arról, hogy kiszolgáltatottak-e.
Sajnos ennek a történetnek nincs boldog vége. A támadás nem hagy nyomot, így még akkor sem, ha egy webhely megoldja a problémát, semmi sem mondja el, hogy a csalók megkapták-e a személyes adatokat. A Heartbleed webhely szerint az IPS (behatolás-megelőző rendszer) számára nehéz lenne megkülönböztetni a támadást a rendszeresen titkosított forgalomtól. Nem tudom, hogy véget ér ez a történet; Vissza fogok jelenteni, ha még több van mondani.
