Social Icons

twitterfacebookgoogle pluslinkedinrss feedemail

English Francais Auf Deutsch Espanol

miercuri, 9 aprilie 2014

S-a descoperit o problemă serioasă de securitate pe internet - aflaţi care sunt efectele şi cum vă puteţi proteja

Eroarea înregistrată de către standardul de criptare OpenSSL pare a fi în momentul de faţă una dintre cele mai grave breşe de securitate de pe internet. 

Pe deasupra, închiderea acestei breşe de securitate nu înlătură pericolul. Dezvoltatorii standardului
Open SSL afirmă că eroarea strecurată poate îngreuna serios sarcina administratorilor de servere.
Conform estimărilor experţilor, eroarea afectează o jumătate de milion de servere web, printre care şi servicii precum Yahoo, Imgur sau site-ul de anunţuri matrimoniale OKCupid. Institutul federal german pentru securitate şi tehnologia informaţiei (BSI) a explicat faptul că situaţia este deosebit de gravă deoarece un atacator ar putea fi capabil să citească schimbul criptat de informaţii dintre Client şi Serverele OpenSSL.
Cei de la BSI susţin că problema nu poate fi rezolvată printr-o simplă actualizare de soft. Chiar dacă este realizată o actualizare de soft, pot fi folosite unele instrumente de criptare care să fie deja compromise. Eroarea permite atacatorilor să fure cheile de securitate pentru toate tipurile de conexiuni la internet şi mai apoi să le decripteze pentru ca astfel să poată fura informaţii referitoare la conturi bancare, parole de utilizatori sau date transmise prin E-Mail.
Pentru serviciile afectate de această eroare trebuie presupus că toate datele au fost deja furate. BSI le recomandă utilizatorilor serviciilor afectate să îşi modifice parolele.
Cercetătorul de securitate american Bruce Schneier de la Universitatea Harward afirmă că această eroare este o adevărată catastrofă.
Eroarea a fost descoperită de către cercetătorul de securitate de la Google, Neel Mehta, care i-a avertizat pe dezvoltatorii standardului OpenSSL.
SSL este un acronim pentru Secure Sockets Layer, un standard care criptează comunicaţia dintre serverele web şi utilizatorii la nivele fundamentale. Acesta este cel mai utilizat standard de securitate web la nivel global. OpenSSL este la rândul ei cea mai utilizată implementare a acestui standard.
Eroarea îi permite unui atacator să citească bucăţi de 64 kb din memoria de lucru a unui server web care utilizează standardul OpenSS, folosindu-se de o funcţie numită Heartbleed care iniţial ar fi trebuit să securizeze comunicaţia dintre server şi client. Aproximativ 20 la sută din toate serverele web cu criptare SSL folosesc această funcţie. Atacatorii pot în principiu să se folosească de această eroare fără să poată fi identificaţi pentru a copia părţi mari din memoria de lucru a serverelor. Cheile de securitate care criptează comunicaţia dintre servere şi clienţi sunt reţinute în memoria de lucru a serverelor. Astfel, atacatorii pot fura datele criptate comunicate între server şi clienţi pentru ca mai apoi să le decripteze prin intermediul cheilor de securitate furate şi astfel să pună mâna pe parole de mail, date despre conturi bancare sau informaţii clasificate.
Bug-ul afectează o versiune a standardului OpenSSL care este deja folosită de doi ani. Teoretic, atacatorii ar fi putut în aceşti ani să acceseze resursele serviciilor secrete sau să monitorizeze traficul dintre servere şi clienţi.
O actualizare a standardului nu este suficientă deoarece serverele vor avea nevoie şi de noi certificate de securitate, cele vechi fiind compromise. Deocamdată nu ne putem da seama dacă un atacator a furat sau nu chei sensibile de securitate în acest timp.
Compania de certificate web, Globalsign a avertizat deja pe site-ul său să nu mai fie folosite vechile chei de securitate şi oferă servicii gratuite de înlocuire a ceritficatelor de securitate.
Dezvoltatorii softului pentru anonimitate web, TOR, avertizează deja ca utilizatorii să nu folosească deocamdată serviciul lor deoarece nu se ştie pentru moment ce servicii au nevoie de certificate noi de securitate.












Niciun comentariu:

Trimiteți un comentariu

Adăugaţi un comentariu/Add a comment

 

Statistici



Display Pagerank

Totalul afisarilor de pagina

Votati-ne

Related Posts Plugin for WordPress, Blogger...