Video: Section 3 (Septembra 2024)
K dispozícii je nová verzia OpenSSL a áno, ukázalo sa, že predchádzajúce verzie bezpečnostného balíka mali určité vážne chyby. Tieto zistené nedostatky sú však dobré; nepozeráme sa na katastrofu rozmerov Heartbleed.
Na prvý pohľad sa zdá, že poradenská služba OpenSSL so zoznamom všetkých siedmich zraniteľností, ktoré boli opravené v OpenSSL, je desivá. Jedna z nedostatkov, ak by bola zneužitá, by mohla útočníkovi umožniť, aby videl a upravil prenos medzi klientom OpenSSL a serverom OpenSSL pri útoku typu človek-uprostred. Tento problém sa vyskytuje vo všetkých klientskych verziách OpenSSL a serveroch 1.0.1 alebo 1.0.2-beta1. Aby bol útok úspešný - a je dosť náročné začať - musia byť prítomné zraniteľné verzie klienta aj servera.
Aj keď je rozsah problému veľmi obmedzený, pravdepodobne sa obávate pokračovania v používaní softvéru s OpenSSL v cene. Najskôr Heartbleed. Teraz útoky uprostred človeka. Zameranie na skutočnosť, že OpenSSL má chyby (aký softvér nemá?), Chýba veľmi kritickému bodu: sú opravené.
Viac očí, väčšia bezpečnosť
Skutočnosť, že vývojári tieto chyby zverejňujú - a opravujú ich - je upokojujúca, pretože to znamená, že v zdrojovom kóde OpenSSL máme viac očí. Viac ľudí skúma v každom riadku potenciálne zraniteľné miesta. Po odhalení chyby Heartbleed začiatkom tohto roka bolo veľa ľudí prekvapených, keď zistili, že projekt nemal veľa finančných prostriedkov alebo mnoho špecializovaných vývojárov napriek jeho rozšírenému použitiu.
„Je to [OpenSSL], ktorá si zasluhuje pozornosť bezpečnostnej komunity, ktorú dostáva teraz, “ povedal Wim Remes, výkonný konzultant IOActive.
Konzorcium technologických gigantov, vrátane spoločností Microsoft, Adobe, Amazon, Dell, Google, IBM, Intel a Cisco, sa spojilo s nadáciou Linux, aby vytvorilo iniciatívu Core Infrastructure Initiative (CII). CII financuje projekty otvoreného zdroja na pridanie vývojárov na plný úväzok, vykonávanie bezpečnostných auditov a zlepšenie testovacej infraštruktúry. OpenSSL bol prvý projekt financovaný v rámci CII; Podporované sú aj Network Time Protocol a OpenSSH.
„Komunita sa postavila pred výzvu, aby zabezpečila, že OpenSSL sa stane lepším produktom a že problémy budú rýchlo nájdené a vyriešené, “ povedal Steve Pate, hlavný architekt spoločnosti HyTrust.
Mali by ste sa báť?
Ak ste správca systému, musíte aktualizovať OpenSSL. Viac chýb bude nájdených a opravených, takže správcovia musia dávať pozor na záplaty, aby bol softvér aktuálny.
Pre väčšinu spotrebiteľov nie je čoho sa obávať. Aby bolo možné túto chybu využiť, musí byť OpenSSL prítomný na oboch koncoch komunikácie a to sa zvyčajne nedeje pri prehliadaní webu, uviedol Ivan Ristic, technický riaditeľ spoločnosti Qualys. Prehliadače stolných počítačov sa nespoliehajú na OpenSSL, a hoci webový prehľadávač na zariadeniach s Androidom a Chrome pre Android používajú OpenSSL. „Podmienky potrebné na vykorisťovanie sa dajú nájsť oveľa ťažšie, “ uviedla Ristic. Skutočnosť, že vykorisťovanie si vyžaduje umiestnenie človeka v strede, je „obmedzujúca“, uviedol.
OpenSSL sa často používa v obslužných programoch príkazového riadku a na programový prístup, takže používatelia musia okamžite aktualizovať. A akákoľvek používaná softvérová aplikácia, ktorá využíva OpenSSL, by sa mala aktualizovať hneď, ako budú k dispozícii nové verzie.
Aktualizujte softvér a „pripravujte sa na časté aktualizácie v budúcnosti OpenSSL, pretože nejde o posledné chyby, ktoré sa nachádzajú v tomto softvérovom balíku, “ varoval Wolfgang Kandek, CTO spoločnosti Qualys.
