Video: Enable SSL in Visual Studio Development Server (November 2024)
SSL, skratka pre Secure Sockets Layer, je to, čo stavia S do HTTPS. Dôverní používatelia vedia, že v paneli s adresou hľadajú HTTPS pred zadaním akýchkoľvek citlivých informácií na webovú stránku. Naše príspevky SecurityWatch často trestajú aplikácie pre Android, ktoré prenášajú osobné údaje bez použitia SSL. Bohužiaľ, nedávno objavená chyba „Heartbleed“ umožňuje útočníkom zachytiť komunikáciu chránenú SSL.
Chyba sa nazýva Heartbleed, pretože na sebe vezme funkciu nazývanú srdcový rytmus, ovplyvňuje konkrétne verzie široko používanej kryptografickej knižnice OpenSSL. Podľa webovej stránky, ktorá bola vytvorená na podávanie správ o Heartbleed, je spoločný trhový podiel dvoch najväčších webových serverov s otvoreným zdrojovým kódom využívajúcich OpenSSL viac ako 66 percent. OpenSSL sa tiež používa na zabezpečenie e-mailov, chatovacích serverov, VPN a „širokej škály klientskeho softvéru“. Je to všade.
Je to zlé, naozaj zlé
Útočník, ktorý túto chybu využije, získa možnosť čítať údaje uložené v pamäti postihnutého servera vrátane všetkých dôležitých šifrovacích kľúčov. Môžu sa zachytiť aj mená a heslá používateľov a celková hodnota šifrovaného obsahu. Podľa tejto stránky „To umožňuje útočníkom odpočúvať komunikáciu, ukradnúť údaje priamo zo služieb a používateľov a vydávať sa za služby a používateľov.“
Stránka ďalej poznamenáva, že zachytenie tajných kľúčov „umožňuje útočníkovi dešifrovať všetok minulý a budúci prenos do chránených služieb“. Jediným riešením je aktualizácia na najnovšiu verziu OpenSSL, zrušenie odcudzených kľúčov a vydanie nových kľúčov. Aj keď útočník v minulosti zachytil a uložil šifrovaný prenos, zachytené kľúče ho dešifrujú.
Čo sa dá urobiť
Túto chybu objavili nezávisle dve rôzne skupiny, dvojica výskumníkov z Codenomicon a výskumný pracovník v oblasti bezpečnosti Google. Ich silným návrhom je, že OpenSSL vydáva verziu, ktorá úplne zakáže funkciu srdca. S týmto novým vydaním by sa mohli zistiť zraniteľné inštalácie, pretože iba oni by reagovali na signál srdca a umožnili by „rozsiahlu koordinovanú reakciu na majiteľov zraniteľných služieb“.
Komunita bezpečnosti berie tento problém vážne. Poznámky nájdete napríklad na webovej stránke US-CERT (tím pre pohotovosť v prípade počítačovej pohotovosti v USA). Tu môžete otestovať svoje vlastné servery a zistiť, či sú zraniteľné.
Bohužiaľ, tento príbeh nie je šťastný. Útok nezanecháva žiadne stopy, takže ani po odstránení problému webom sa nedá povedať, či podvodníci poklepali na súkromné údaje. Podľa webovej stránky Heartbleed by pre IPS (Intrusion Prevention System) bolo ťažké rozlíšiť útok od bežného šifrovaného prenosu. Neviem, ako tento príbeh končí; Budem hlásiť, keď bude čo povedať.