התקשורת מוצפנת? תחשבו שוב

באג חדש במנגנון ההצפנה OpenSSL שנמצא בשימוש במעל לחצי מליון אתרים בעולם , מאפשר לתוקף לגנוב את הפרטים של הגולשים. בין האתרים הפגיעים אפשר למצוא גם את יאהו ופליקר

photo by:shutterstock.com

"באג Heartbleed" הוא פגיעות חמורה בספריית התוכנה הפופולרית, OpenSSL, שמספקת הצפנה. חולשה זו מאפשרת גניבת מידע מוגן בתנאים רגילים, על ידי מנגנון הצפנת SSL / TLS המשמש לאבטחה באינטרנט. ה-SSL / TLS מספק אבטחה ופרטיות בתקשורת באינטרנט עבור יישומים כגון אינטרנט, דואר אלקטרוני, מסרים מיידיים (IM) וחלק מהרשתות הוירטואליות הפרטיות (VPN).

הבאג מאפשר לכל אחד באינטרנט לקרוא את הזיכרון של המערכות מוגנות בגרסות הפגיעות של תוכנת OpenSSL. זה פוגע במפתחות הסודיים המשמשים לזיהוי ספקי השירות המשמשים להצפין את התעבורה, השמות והסיסמאות של המשתמשים והתוכן הממשי. זה מאפשר לתוקפים לצותת לתקשורת, לגנוב נתונים ישירות מהשירותים והמשתמשים ולהתחזות לשירותים ומשתמשים.

מנקודת המבט של התוקף, הוא יכול לגנוב את המפתחות הסודיים המשמשים לתעודות X.509, שמות משתמש וסיסמאות, הודעות מיידיות, הודעות דואר אלקטרוני ומסמכים עסקיים קריטיים ותקשורת, ללא כל שימוש במידע או אישורי זכויות יתר.

איך לעצור את הדליפה?

כל עוד הגרסה הפגיעה של OpenSSL היא בשימוש, היא יכולה להיות מנוצלת לרעה. גרסה מתוקנת של ה-OpenSSL כבר פורסמה. יצרני מערכות הפעלה והפצה, ספקי מכשירים וספקי תוכנה עצמאיים צריכים לאמץ את התיקון ולהודיע ​​למשתמשים שלהם. ספקי שירות ומשתמשים צריכים להתקין את התיקון ברגע שהוא הופך להיות זמין למערכות ההפעלה, רכיבי רשת והתוכנה בהם הם משתמשים.

ההודעה הרשמית מארגון MITRE שזיהה את הבאג:

מימושי TLS ו-DTLS ב-OpenSSL 1.0.1 לפני גרסת 1.0.1g אינם מטפלים כראוי בחבילת ההרחבה Heartbeat, המאפשרת לתוקפים מרחוק להשיג מידע רגיש מהזיכרון באמצעות מנות שמייצרות פעולה (טריגר) בחיץ וגורמות לאפשרות קריאה ממנו (buffer over-read), כפי שהודגם על ידי קריאת מפתחות פרטיים, הקשורה לפונקציות d1_both.c ו-t1_lib.c או בשמה האחר "באג Heartbleed".

ההישג של הבאג חורג הרבה מעבר לפינות החשאיות של האינטרנט. סקר שנערך לאחרונה על ידי חברת אבטחת האינטרנט Netcraft הראה כי 66 אחוזים מאתרי האינטרנט המנוהלים על שרתי קוד פתוח Apache וNginx, משתמשים ב-OpenSSL כברירת מחדל. כמו כן, הרבה מערכות הפעלה ויישומים אחרים, כמו אובונטו, CentOS, פדורה, OpenBSD, FreeBSD, והפצות openSUSE של לינוקס, כך על פי דיווח של Ars Technica/>.

בסך הכל, כחצי מיליון אתרים (כנראה) פגיעים, לפי Netcraft, כולל יאהו ופליקר. יש רשימה ארוכה של אתרים ב-Github.

You might be interested also