Wenn Sie zu den Leuten gehören, die schon immer davon überzeugt waren, dass Open-Source-Kryptographie die sicherste Art ist, online zu kommunizieren, dann erwartet Sie eine Überraschung.
In dieser Woche informierte Neel Mehta, ein Mitglied des Sicherheitsteams von Google, das Entwicklungsteam von OpenSSL darüber, dass ein Exploit mit der "Heartbeat" -Funktion von OpenSSL existiert. Google entdeckte den Fehler, als er mit der Sicherheitsfirma Codenomicon versuchte, seine eigenen Server zu hacken. Nach der Benachrichtigung von Google veröffentlichte das OpenSSL-Team am 7. April eine eigene Sicherheitsempfehlung zusammen mit einem Notfall-Patch für den Fehler.
Der Bug wurde von Sicherheitsanalysten bereits mit dem Spitznamen "Heartbleed" ausgezeichnet. Sicherheitsexperte Bruce Schneier Über Kennwörter, Datenschutz und Vertrauen Sicherheitsexperte Bruce Schneier Über Passwörter, Datenschutz und Vertrauen Erfahren Sie in unserem Interview mit Sicherheitsexperte Bruce Schneier mehr über Sicherheit und Datenschutz. Lesen Sie mehr, weil es die "Heartbeat" -Funktion von OpenSSL nutzt, um ein System, auf dem OpenSSL läuft, dazu zu bringen, sensible Informationen preiszugeben, die im Systemspeicher gespeichert werden können. Während viele der im Speicher gespeicherten Informationen möglicherweise nicht viel Wert für Hacker haben, würde das Juwel erfassen die Schlüssel, die das System verwendet, um die Kommunikation zu verschlüsseln. 5 Möglichkeiten zur sicheren Verschlüsselung Ihrer Dateien in der Cloud 5 Möglichkeiten zur sicheren Verschlüsselung Ihrer Dateien in der Cloud Ihre Dateien werden möglicherweise während der Übertragung und auf den Servern des Cloud-Anbieters verschlüsselt. Die Cloud-Speicherfirma kann sie jedoch entschlüsseln. Jeder, der Zugriff auf Ihr Konto erhält, kann die Dateien anzeigen. Client-Seite ... Lesen Sie mehr.
Sobald die Schlüssel erhalten sind, können Hacker die Kommunikation entschlüsseln und sensible Informationen wie Passwörter, Kreditkartennummern und mehr erfassen. Die einzige Anforderung, um diese sensiblen Schlüssel zu erhalten, besteht darin, die verschlüsselten Daten vom Server lange genug zu konsumieren, um die Schlüssel zu erfassen. Der Angriff ist nicht nachweisbar und nicht nachvollziehbar.
Der OpenSSL Heartbeat Bug
Die Auswirkungen dieser Sicherheitslücke sind enorm. OpenSSL wurde im Dezember 2011 gegründet und entwickelte sich schnell zu einer kryptografischen Bibliothek, die von Unternehmen und Organisationen rund um das Internet zur Verschlüsselung sensibler Informationen und Kommunikation genutzt wird. Es ist die vom Apache-Webserver verwendete Verschlüsselung, auf der fast die Hälfte aller Websites im Internet aufgebaut sind.
Laut dem OpenSSL-Team ist das Sicherheitsloch ein Softwarefehler.
"Eine Prüfung auf fehlende Grenzen bei der Verarbeitung der TLS-Heartbeat-Erweiterung kann verwendet werden, um einem verbundenen Client oder Server bis zu 64 KB Arbeitsspeicher anzuzeigen. Betroffen sind nur die Versionen 1.0.1 und 1.0.2-Beta von OpenSSL, einschließlich 1.0.1f und 1.0.2-beta1. "
Ohne Spuren in den Serverprotokollen zu hinterlassen, können Hacker diese Schwachstelle ausnutzen, um verschlüsselte Daten von einigen der sensibelsten Server im Internet zu erhalten, z. B. von Bank-Webservern, Kreditkartenfirmenservern, Websites zur Rechnungszahlung und vielem mehr.
Die Wahrscheinlichkeit, dass Hacker die geheimen Schlüssel erhalten, bleibt jedoch in Frage, da Adam Langley, ein Google-Sicherheitsexperte, in seinen Twitter-Stream geschrieben hat, dass seine eigenen Tests nichts Sensibles wie geheime Verschlüsselungsschlüssel ergeben.
In seiner Sicherheitsempfehlung vom 7. April empfahl das OpenSSL-Team eine sofortige Aktualisierung und eine alternative Lösung für Serveradministratoren, die kein Upgrade durchführen können.
"Betroffene Benutzer sollten auf OpenSSL 1.0.1g upgraden. Benutzer, die nicht sofort upgraden können, können OpenSSL alternativ mit -DOPENSLN_NO_HEARTBEATS neu kompilieren. 1.0.2 wird in 1.0.2-Beta2 behoben werden. "
Aufgrund der Verbreitung von OpenSSL im Internet in den letzten zwei Jahren ist die Wahrscheinlichkeit, dass die Google-Ankündigung zu bevorstehenden Angriffen führt, ziemlich hoch. Die Auswirkungen dieser Angriffe können jedoch dadurch gemildert werden, dass so viele Serveradministratoren und Sicherheitsmanager ihre Unternehmenssysteme so bald wie möglich auf OpenSSL 1.0.1g aktualisieren.
Quelle: OpenSSL