Eroarea
înregistrată de către standardul de criptare OpenSSL pare a fi în momentul de
faţă una dintre cele mai grave breşe de securitate de pe internet.
Pe deasupra,
închiderea acestei breşe de securitate nu înlătură pericolul. Dezvoltatorii standardului
Open SSL afirmă că eroarea strecurată poate îngreuna serios sarcina
administratorilor de servere.
Conform estimărilor
experţilor, eroarea afectează o jumătate de milion de servere web, printre care
şi servicii precum Yahoo, Imgur sau site-ul de anunţuri matrimoniale OKCupid. Institutul
federal german pentru securitate şi tehnologia informaţiei (BSI) a explicat
faptul că situaţia este deosebit de gravă deoarece un atacator ar putea fi
capabil să citească schimbul criptat de informaţii dintre Client şi Serverele
OpenSSL.
Cei de la BSI
susţin că problema nu poate fi rezolvată printr-o simplă actualizare de soft.
Chiar dacă este realizată o actualizare de soft, pot fi folosite unele
instrumente de criptare care să fie deja compromise. Eroarea permite
atacatorilor să fure cheile de securitate pentru toate tipurile de conexiuni la
internet şi mai apoi să le decripteze pentru ca astfel să poată fura informaţii
referitoare la conturi bancare, parole de utilizatori sau date transmise prin
E-Mail.
Pentru serviciile
afectate de această eroare trebuie presupus că toate datele au fost deja
furate. BSI le recomandă utilizatorilor serviciilor afectate să îşi modifice
parolele.
Cercetătorul de
securitate american Bruce Schneier de la Universitatea Harward afirmă că
această eroare este o adevărată catastrofă.
Eroarea a fost
descoperită de către cercetătorul de securitate de la Google, Neel Mehta, care
i-a avertizat pe dezvoltatorii standardului OpenSSL.
SSL este un acronim
pentru Secure Sockets Layer, un standard care criptează comunicaţia dintre
serverele web şi utilizatorii la nivele fundamentale. Acesta este cel mai utilizat standard de securitate web
la nivel global. OpenSSL este la rândul ei cea mai utilizată implementare a
acestui standard.
Eroarea îi permite
unui atacator să citească bucăţi de 64 kb din memoria de lucru a unui server
web care utilizează standardul OpenSS, folosindu-se de o funcţie numită
Heartbleed care iniţial ar fi trebuit să securizeze comunicaţia dintre server şi
client. Aproximativ 20 la sută din toate serverele web cu criptare SSL folosesc
această funcţie. Atacatorii pot în principiu să se folosească de această eroare
fără să poată fi identificaţi pentru a copia părţi mari din memoria de lucru a
serverelor. Cheile de securitate care criptează comunicaţia dintre servere şi
clienţi sunt reţinute în memoria de lucru a serverelor. Astfel, atacatorii pot
fura datele criptate comunicate între server şi clienţi pentru ca mai apoi să
le decripteze prin intermediul cheilor de securitate furate şi astfel să pună
mâna pe parole de mail, date despre conturi bancare sau informaţii clasificate.
Bug-ul afectează o
versiune a standardului OpenSSL care este deja folosită de doi ani. Teoretic,
atacatorii ar fi putut în aceşti ani să acceseze resursele serviciilor secrete
sau să monitorizeze traficul dintre servere şi clienţi.
O actualizare a
standardului nu este suficientă deoarece serverele vor avea nevoie şi de noi
certificate de securitate, cele vechi fiind compromise. Deocamdată nu ne putem
da seama dacă un atacator a furat sau nu chei sensibile de securitate în acest
timp.
Compania de
certificate web, Globalsign a avertizat deja pe site-ul său să nu mai fie
folosite vechile chei de securitate şi oferă servicii gratuite de înlocuire a
ceritficatelor de securitate.
Dezvoltatorii
softului pentru anonimitate web, TOR, avertizează deja ca utilizatorii să nu
folosească deocamdată serviciul lor deoarece nu se ştie pentru moment ce
servicii au nevoie de certificate noi de securitate.
Niciun comentariu:
Trimiteți un comentariu
Adăugaţi un comentariu/Add a comment