Video: What Is an SSL Certificate? Do You Need One? (Oktober 2024)
SSL, forkortelse for Secure Sockets Layer, er det, der sætter S i HTTPS. Kyndige brugere ved at se efter HTTPS i adresselinjen, før de indtaster følsomme oplysninger på et websted. Vores SecurityWatch-indlæg tukter ofte Android-apps, der transmitterer personlige data uden at bruge SSL. Desværre tillader den for nylig opdagede "Heartbleed" -fejl angribere at aflytte SSL-beskyttet kommunikation.
Fejlen kaldes Heartbleed, fordi den piggybacks på en funktion, der kaldes hjerteslag, påvirker specifikke versioner af det vidt anvendte OpenSSL kryptografiske bibliotek. Ifølge det websted, der blev oprettet for at rapportere om Heartbleed, er den samlede markedsandel for de to største open source-webservere, der bruger OpenSSL, mere end 66 procent. OpenSSL bruges også til at sikre e-mail, chatservere, VPN'er og "en lang række klientsoftware." Det er overalt.
Det er dårligt, virkelig dårligt
En angriber, der drager fordel af denne fejl, får muligheden for at læse data, der er gemt i den berørte server's hukommelse, inklusive de vigtige krypteringsnøgler. Navne og adgangskoder på brugere og totaliteten af det krypterede indhold kan også indfanges. Ifølge webstedet "Dette giver angribere mulighed for at aflyse kommunikation, stjæle data direkte fra tjenesterne og brugerne og efterligne tjenester og brugere."
Webstedet fortsætter med at bemærke, at optagelse af hemmelige nøgler "giver angriberen mulighed for at dekryptere enhver fortid og fremtidig trafik til de beskyttede tjenester." Den eneste løsning er at opdatere til den meget nyeste version af OpenSSL, tilbagekalde de stjålne nøgler og udstede nye nøgler. Selv da angriberen opsnappet og gemt krypteret trafik i fortiden, dekrypterer de fangede taster den.
Hvad kan gøres
Denne fejl blev opdaget uafhængigt af to forskellige grupper, et par forskere fra Codenomicon og en Google-sikkerhedsforsker. Deres stærke forslag er, at OpenSSL frigiver en version, der fuldstændigt deaktiverer hjerteslagsfunktionen. Da den nye udgave blev rullet ud, kunne sårbare installationer opdages, fordi det kun var de, der reagerede på hjerteslagssignalet, hvilket muliggør "koordineret storstilet skala for at nå ejere af sårbare tjenester."
Sikkerhedsfællesskabet tager dette problem alvorligt. Du finder f.eks. Noter om det på webstedet US-CERT (United States Computer Emergency Readiness Team). Du kan teste dine egne servere her for at se, om de er sårbare.
Der er desværre ingen lykkelig afslutning på denne historie. Angrebet efterlader ingen spor, så selv efter et websted har løst problemet, kan man ikke se, om skurkerne har trykket på private data. Ifølge webstedet Heartbleed ville det være vanskeligt for et IPS (Intrusion Prevention System) at skelne angrebet fra almindelig krypteret trafik. Jeg ved ikke, hvordan denne historie slutter; Jeg rapporterer tilbage, når der er mere at fortælle.
