บ้าน Securitywatch Ssl bug คุกคามการสื่อสารที่ปลอดภัย

Ssl bug คุกคามการสื่อสารที่ปลอดภัย

วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (ธันวาคม 2024)

วีดีโอ: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (ธันวาคม 2024)
Anonim

SSL ย่อมาจาก Secure Sockets Layer เป็นสิ่งที่ทำให้ S ใน HTTPS ผู้ใช้ที่มีความชำนาญรู้ว่าจะมองหา HTTPS ในแถบที่อยู่ก่อนป้อนข้อมูลที่ละเอียดอ่อนบนเว็บไซต์ SecurityWatch ของเราโพสต์บ่อย ๆ ลงโทษแอพ Android ที่ส่งข้อมูลส่วนบุคคลโดยไม่ต้องใช้ SSL อนิจจาข้อผิดพลาด "Heartbleed" ที่ค้นพบเมื่อเร็ว ๆ นี้ทำให้ผู้โจมตีสามารถสกัดกั้นการสื่อสารที่ป้องกันด้วย SSL

ข้อผิดพลาดนี้เรียกว่า Heartbleed เพราะมันเป็นฟีเจอร์ที่เรียกว่า heartbeat ซึ่งส่งผลต่อไลบรารี่ของ OpenSSL ที่ใช้กันอย่างแพร่หลายในเวอร์ชันเข้ารหัสเฉพาะ ตามเว็บไซต์ที่สร้างขึ้นเพื่อรายงานเกี่ยวกับ Heartbleed ส่วนแบ่งการตลาดรวมของสองเว็บเซิร์ฟเวอร์โอเพ่นซอร์สที่ใหญ่ที่สุดที่ใช้ OpenSSL นั้นมากกว่า 66 เปอร์เซ็นต์ OpenSSL ยังใช้เพื่อรักษาความปลอดภัยอีเมล, เซิร์ฟเวอร์แชท, VPN และ "ซอฟต์แวร์ไคลเอ็นต์ที่หลากหลาย" มันอยู่ทั่วทุกที่

มันแย่แย่จริงๆ

ผู้โจมตีที่ใช้ประโยชน์จากข้อบกพร่องนี้จะสามารถอ่านข้อมูลที่เก็บไว้ในหน่วยความจำของเซิร์ฟเวอร์ที่ได้รับผลกระทบรวมถึงคีย์เข้ารหัสที่สำคัญทั้งหมด สามารถบันทึกชื่อและรหัสผ่านของผู้ใช้และจำนวนทั้งสิ้นของเนื้อหาที่เข้ารหัส ตามเว็บไซต์กล่าวว่า "สิ่งนี้ช่วยให้ผู้โจมตีสามารถดักฟังการสื่อสารขโมยข้อมูลโดยตรงจากบริการและผู้ใช้และเพื่อปลอมแปลงบริการและผู้ใช้"

เว็บไซต์ดังกล่าวได้ทำการบันทึกคีย์ลับ "อนุญาตให้ผู้โจมตีถอดรหัสการรับส่งข้อมูลในอดีตและในอนาคตไปยังบริการที่ได้รับการป้องกัน" ทางออกเดียวคือการอัพเดทเป็นเวอร์ชั่นล่าสุดของ OpenSSL เพิกถอนกุญแจที่ถูกขโมยและออกกุญแจใหม่ แม้ในตอนนั้นหากผู้โจมตีขัดขวางและจัดเก็บทราฟฟิกที่เข้ารหัสไว้ในอดีตกุญแจที่ถูกจับจะถอดรหัสมัน

สิ่งที่สามารถทำได้

ข้อผิดพลาดนี้ถูกค้นพบโดยอิสระจากสองกลุ่มที่แตกต่างกันหนึ่งคู่ของนักวิจัยจาก Codenomicon และนักวิจัยความปลอดภัยของ Google ข้อเสนอแนะที่แข็งแกร่งของพวกเขาคือ OpenSSL ปล่อยเวอร์ชันที่ปิดใช้งานคุณสมบัติ heartbeat อย่างสมบูรณ์ ด้วยการเปิดตัวรุ่นใหม่นั้นการตรวจจับการติดตั้งที่มีช่องโหว่นั้นสามารถตรวจจับได้เพราะมีเพียงพวกเขาเท่านั้นที่จะตอบสนองต่อสัญญาณการเต้นของหัวใจทำให้สามารถ "ตอบสนองการประสานงานขนาดใหญ่

ชุมชนความปลอดภัยกำลังดำเนินการกับปัญหานี้อย่างจริงจัง คุณจะพบบันทึกย่อเกี่ยวกับเรื่องนี้ในเว็บไซต์ US-CERT (ทีมคอมพิวเตอร์เตรียมพร้อมฉุกเฉินของสหรัฐอเมริกา) คุณสามารถทดสอบเซิร์ฟเวอร์ของคุณเองที่นี่เพื่อดูว่ามีความเสี่ยงหรือไม่

อนิจจาตอนจบของเรื่องนี้ไม่มีความสุข การโจมตีไม่มีร่องรอยใด ๆ ดังนั้นแม้หลังจากที่เว็บไซต์แก้ไขปัญหาแล้วก็ไม่มีใครบอกได้ว่าโจรได้แตะข้อมูลส่วนตัวหรือไม่ อ้างอิงจากเว็บไซต์ Heartbleed มันจะเป็นเรื่องยากสำหรับ IPS (ระบบป้องกันการบุกรุก) เพื่อแยกแยะการโจมตีจากทราฟฟิกที่เข้ารหัสเป็นประจำ ฉันไม่รู้ว่าเรื่องนี้จบลงอย่างไร; ฉันจะรายงานกลับเมื่อมีอะไรจะบอกอีก

Ssl bug คุกคามการสื่อสารที่ปลอดภัย