Werbung
Wenn Sie zu den Menschen gehören, die immer geglaubt haben, dass Open Source-Kryptografie die sicherste Art der Online-Kommunikation ist, werden Sie überrascht sein.
Diese Woche informierte Neel Mehta, Mitglied des Sicherheitsteams von Google, das Entwicklungsteam unter OpenSSL dass ein Exploit mit der OpenSSL-Funktion "Heartbeat" vorhanden ist. Google entdeckte den Fehler, als es mit der Sicherheitsfirma Codenomicon zusammenarbeitete, um zu versuchen, seine eigenen Server zu hacken. Nach der Benachrichtigung von Google am 7. April veröffentlichte das OpenSSL-Team eine eigene Sicherheitshinweis zusammen mit einem Notfall-Patch für den Fehler.
Der Bug hat bereits den Spitznamen "Heartbleed" erhalten von Sicherheitsanalysten Sicherheitsexperte Bruce Schneier über Passwörter, Datenschutz und VertrauenErfahren Sie mehr über Sicherheit und Datenschutz in unserem Interview mit dem Sicherheitsexperten Bruce Schneier. Weiterlesen , weil es die OpenSSL-Funktion "Heartbeat" verwendet, um ein System, auf dem OpenSSL ausgeführt wird, dazu zu bringen, vertrauliche Informationen preiszugeben, die möglicherweise im Systemspeicher gespeichert sind. Während ein Großteil der im Speicher gespeicherten Informationen für Hacker möglicherweise nicht viel Wert hat, erfasst der Edelstein genau die Schlüssel, die das System verwendet
Kommunikation verschlüsseln 5 Möglichkeiten zum sicheren Verschlüsseln Ihrer Dateien in der CloudIhre Dateien werden möglicherweise während der Übertragung und auf den Servern des Cloud-Anbieters verschlüsselt, aber das Cloud-Speicherunternehmen kann sie entschlüsseln - und jeder, der Zugriff auf Ihr Konto erhält, kann die Dateien anzeigen. Client-seitig ... Weiterlesen .Sobald die Schlüssel erhalten wurden, können Hacker die Kommunikation entschlüsseln und vertrauliche Informationen wie Passwörter, Kreditkartennummern und mehr erfassen. Die einzige Voraussetzung, um diese vertraulichen Schlüssel zu erhalten, besteht darin, die verschlüsselten Daten vom Server lange genug zu verbrauchen, um die Schlüssel zu erfassen. Der Angriff ist nicht nachweisbar und nicht nachvollziehbar.
Der OpenSSL Heartbeat Bug
Die Folgen dieser Sicherheitslücke sind enorm. OpenSSL wurde erstmals im Dezember 2011 gegründet und wurde schnell zu einer kryptografischen Bibliothek von Unternehmen und Organisationen rund um das Internet, um sensible Informationen zu verschlüsseln und Kommunikation. Es ist die vom Apache-Webserver verwendete Verschlüsselung, auf der fast die Hälfte aller Websites im Internet basiert.
Laut dem OpenSSL-Team ist die Sicherheitslücke auf einen Softwarefehler zurückzuführen.
„Eine Überprüfung der fehlenden Grenzen bei der Behandlung der TLS-Heartbeat-Erweiterung kann verwendet werden, um einem verbundenen Client oder Server bis zu 64 KB Speicher freizugeben. Nur Open0.L-Versionen 1.0.1 und 1.0.2-Beta sind betroffen, einschließlich 1.0.1f und 1.0.2-Beta1. “
Ohne Spuren in den Serverprotokollen zu hinterlassen, könnten Hacker diese Schwachstelle ausnutzen, um verschlüsselte Daten von einigen der zu erhalten die sensibelsten Server im Internet, wie Bank-Webserver, Server von Kreditkartenunternehmen, Websites für Rechnungszahlungen und Mehr.
Die Wahrscheinlichkeit, dass Hacker die geheimen Schlüssel erhalten, bleibt jedoch fraglich, da Adam Langley, ein Google-Sicherheitsexperte, bei gepostet hat sein Twitter-Stream dass seine eigenen Tests nichts so Sensibles wie geheime Verschlüsselungsschlüssel ergaben.
In seiner Sicherheitsempfehlung am 7. April empfahl das OpenSSL-Team ein sofortiges Upgrade und eine alternative Lösung für Serveradministratoren, die kein Upgrade durchführen können.
„Betroffene Benutzer sollten ein Upgrade auf OpenSSL 1.0.1g durchführen. Benutzer, die nicht sofort aktualisieren können, können OpenSSL alternativ mit -DOPENSSL_NO_HEARTBEATS neu kompilieren. 1.0.2 wird in 1.0.2-beta2 behoben. “
Aufgrund der zunehmenden Verbreitung von OpenSSL im Internet in den letzten zwei Jahren ist die Wahrscheinlichkeit, dass die Ankündigung von Google zu bevorstehenden Angriffen führt, relativ hoch. Die Auswirkungen dieser Angriffe können jedoch dadurch gemindert werden, dass möglichst viele Serveradministratoren und Sicherheitsmanager ihre Unternehmenssysteme so schnell wie möglich auf OpenSSL 1.0.1g aktualisieren.
Quelle: OpenSSL
Ryan hat einen BSc-Abschluss in Elektrotechnik. Er hat 13 Jahre in der Automatisierungstechnik, 5 Jahre in der IT gearbeitet und ist jetzt Apps Engineer. Als ehemaliger Managing Editor von MakeUseOf sprach er auf nationalen Konferenzen zur Datenvisualisierung und wurde im nationalen Fernsehen und Radio vorgestellt.