Massive Bug in OpenSSL zet veel van internet in gevaar
Als jij een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, dan sta je een beetje voor een verrassing.
Deze week heeft Neel Mehta, lid van het beveiligingsteam van Google, het ontwikkelingsteam op OpenSSL geïnformeerd dat er een exploit bestaat met OpenSSL's “hartslag” voorzien zijn van. Google ontdekte de bug bij het werken met beveiligingsbedrijf Codenomicon om zijn eigen servers te proberen te hacken. Na de kennisgeving van Google bracht het OpenSSL-team op 7 april hun eigen beveiligingsadvies uit, samen met een noodflap voor de bug.
De bug heeft al de bijnaam gekregen “heartbleed” door beveiligingsanalisten Security-expert Bruce Schneier over wachtwoorden, privacy- en vertrouwensbeveiliging Expert Bruce Schneier over wachtwoorden, privacy en vertrouwen Meer informatie over beveiliging en privacy vindt u in ons interview met beveiligingsexpert Bruce Schneier. Lees meer, omdat het OpenSSL's gebruikt “hartslag” functie om een systeem dat OpenSSL draait te misleiden tot het onthullen van gevoelige informatie die mogelijk in het systeemgeheugen is opgeslagen. Hoewel veel van de informatie die in het geheugen is opgeslagen mogelijk niet van grote waarde is voor hackers, zou de edelsteen de eigenlijke sleutels vangen die het systeem gebruikt om communicatie te coderen. 5 manieren om uw bestanden veilig te versleutelen in de Cloud 5 manieren om uw bestanden veilig te versleutelen in de Cloud Uw bestanden kunnen tijdens het transport en op de servers van de cloudaanbieder versleuteld zijn, maar het cloudopslagbedrijf kan ze ontsleutelen en iedereen die toegang heeft tot uw account, kan de bestanden bekijken. Client-side ... Lees meer .
Zodra de sleutels zijn verkregen, kunnen hackers vervolgens de communicatie ontsleutelen en gevoelige informatie vastleggen, zoals wachtwoorden, creditcardnummers en meer. De enige vereiste om die gevoelige sleutels te verkrijgen, is om de gecodeerde gegevens van de server lang genoeg te consumeren om de sleutels vast te leggen. De aanval is niet op te sporen en niet op te sporen.
De OpenSSL Heartbeat-bug
De vertakkingen van deze beveiligingsfout zijn enorm. OpenSSL werd voor het eerst opgericht in december 2011 en het werd al snel een cryptografische bibliotheek die door bedrijven en organisaties overal op internet wordt gebruikt om gevoelige informatie en communicatie te coderen. Het is de codering die wordt gebruikt door de Apache-webserver, waarvan bijna de helft van alle websites op het internet is gebouwd.
Volgens het OpenSSL-team komt het beveiligingslek door een softwareprobleem.
“Een ontbrekende controle van grenzen in de afhandeling van de TLS heartbeat-extensie kan worden gebruikt om tot 64 k geheugen te onthullen aan een verbonden client of server. Alleen 1.0.1 en 1.0.2-beta releases van OpenSSL worden beïnvloed, inclusief 1.0.1f en 1.0.2-beta1.”
Zonder sporen na te laten in serverlogboeken, zouden hackers deze zwakke plek kunnen misbruiken om gecodeerde gegevens te verkrijgen van enkele van de meest gevoelige servers op internet, zoals bankwebservers, creditcardservers, betaalwebsites voor facturering en meer.
De kans dat hackers de geheime sleutels verkrijgen, blijft echter in het geding, omdat Adam Langley, een Google-beveiligingsdeskundige, op zijn Twitter-stream heeft gepost dat zijn eigen testen niet zo gevoelig zijn als geheime coderingssleutels.
Het is zijn beveiligingsadvies op 7 april, het OpenSSL-team heeft een onmiddellijke upgrade aanbevolen en een alternatieve oplossing voor serverbeheerders die niet kunnen upgraden.
“Getroffen gebruikers moeten upgraden naar OpenSSL 1.0.1g. Gebruikers die niet onmiddellijk kunnen upgraden, kunnen OpenSSL ook opnieuw compileren met -DOPENSSL_NO_HEARTBEATS. 1.0.2 wordt opgelost in 1.0.2-beta2.”
Vanwege de verspreiding van OpenSSL op internet gedurende de afgelopen twee jaar is de kans groot dat de aankondiging van Google leidt tot dreigende aanvallen. De impact van die aanvallen kan echter worden beperkt door zo veel mogelijk serverbeheerders en beveiligingsmanagers die hun bedrijfssystemen upgraden naar OpenSSL 1.0.1g zo snel mogelijk.
Bron: OpenSSL
Ontdek meer over: Online beveiliging, OpenSSL, wachtwoord, SSL.