Video: KHYAAL RAKHYA KAR - Asim Riaz & Himanshi Khurana | Preetinder | Babbu | Anshul Garg | (September 2024)
SSL, kort för Secure Sockets Layer, är det som sätter S i HTTPS. Kunniga användare vet att de letar efter HTTPS i adressfältet innan de anger känslig information på en webbplats. Våra SecurityWatch-inlägg kasta ofta Android-appar som överför personuppgifter utan att använda SSL. Tyvärr tillåter det nyligen upptäckta "Heartbleed" -fel angriparna att fånga SSL-skyddad kommunikation.
Buggen kallas Heartbleed eftersom den backar tillbaka på en funktion som kallas hjärtslag, påverkar specifika versioner av det allmänt använda OpenSSL-kryptografiska biblioteket. Enligt webbplatsen som skapades för att rapportera om Heartbleed är den sammanlagda marknadsandelen för de två största open source-webbserverna med OpenSSL mer än 66 procent. OpenSSL används också för att säkra e-post, chatt-servrar, VPN och "ett brett utbud av klientprogram." Det är överallt.
Det är dåligt, verkligen dåligt
En angripare som utnyttjar detta fel får förmågan att läsa data lagrade i den drabbade serverns minne, inklusive alla viktiga krypteringsnycklar. Användarnas namn och lösenord och det krypterade innehållets totalitet kan också fångas. Enligt webbplatsen "Detta gör det möjligt för angripare att tjuvlyssna på kommunikation, stjäla data direkt från tjänsterna och användarna och efterge sig tjänster och användare."
Webbplatsen fortsätter att notera att fånga hemliga nycklar "gör det möjligt för angriparen att dekryptera all tidigare och framtida trafik till de skyddade tjänsterna." Den enda lösningen är att uppdatera till den allra senaste versionen av OpenSSL, återkalla de stulna nycklarna och utfärda nya nycklar. Även då, om angriparen avlyssnat och lagrat krypterad trafik tidigare, kommer de fångade nycklarna att dekryptera den.
Vad kan göras
Detta fel upptäcktes oberoende av två olika grupper, ett par forskare från Codenomicon och en säkerhetsforskare från Google. Deras starka förslag är att OpenSSL släpper en version som helt avaktiverar hjärtslagsfunktionen. När den nya upplagan rullades ut, kunde sårbara installationer upptäckas eftersom de bara skulle svara på hjärtslagssignalen, vilket möjliggör "storskaligt samordnat svar för att nå ägare av sårbara tjänster."
Säkerhetsgemenskapen tar detta problem på allvar. Du hittar anteckningar om det på webbplatsen US-CERT (United States Computer Emergency Readiness Team), till exempel. Du kan testa dina egna servrar här för att se om de är sårbara.
Tyvärr finns det inget lyckligt slut på den här historien. Attacken lämnar inga spår, så även efter att en webbplats har åtgärdat problemet finns det inget att veta om skurkar har knackat på privata uppgifter. Enligt webbplatsen Heartbleed skulle det vara svårt för ett IPS (Intrusion Prevention System) att särskilja attacken från regelbunden krypterad trafik. Jag vet inte hur den här historien slutar; Jag rapporterar tillbaka när det finns mer att berätta.
