Heartbleed Bug

Нов сериозен пропуст е откриен во заштитата на популарниот OpenSSL стандард за енкрипција, кој овозможува крадење на енкриптирани податоци заштитени со SSL/TLS енкрипција.

OpenSSL воедно е и најчесто употребуваниот начин на заштита на Интернет комуникацијата. SSL/TLS обезбедува заштита и приватност при комуницирањето и сурфањето (e-mail пораки, chat, VPN конекции итн.)

Она што го прави Heartbleed толку опасен е тоа што овозможува било кој корисник со малку знаење и со интернет конекција да може да ја прочита меморијата на системите кои користат ранлива верзија на OpenSSL софтверот. Со тоа напаѓачот ги открива тајните клучеви кои служат за енкриптирање/декриптирање на сообраќајот и идентификација на валидноста на сервисот во прашање. Открива кориснички имиња и лозинки, а со сето тоа овозможена е имперсонација на корисниците и крадење на податоци дирекно од самите сервери кои ги хостираат сервисите кои се зафатени со овој пропуст.

 

Heartbleed t-shirt

Како сето ова изгледа во пракса?

Оние кои тестирале сами на себе успеале успешно да се "хакнат" самите себеси без да остават трага. Без користење на било каква идентификација откриени се тајните клучеви за енкрипција користени од X.509 сертификатите, а со понатамошно следење на комуникацијата откриени биле корисничките имиња, лозинките, email пораките и се останато од сервисот во прашање.

 

 

Како да се заштитиме?

Heartbleed може да биде употребен се додека се користи ранлива верзија на OpenSSL. Направена е надоградба на OpenSSL софтверот (TLS heartbeat read overrun CVE-2014-0160) и најстрого е препорачано истата да биде инсталирана на системите во прашање.

Во најголема опасност се оние кои користат OpenSSL VPN пристап. Доколку компанијата користи OpenSSL VPN тогаш најстрого се препорачува надоградба на системот и екстензивно следење на IP адресите кои се врзуваат на истиот во блиска иднина. Нормално е за IP адреса да се менува еднаш или два пати во текот на една VPN сесија, но не е нормално истата да се менува зачестено во краток временски период и од различни IP блокови, од различни сервис провајдери и IP блокови кои припаѓаат на географски оддалечени локации.

Доколку компанијата не е во можност за брзо време да направи надоградба на системот тогаш се препорачува привремено да го онеспособи OpenSSL VPN пристапот или пак да направи евиденција на IP адресите од кои вработените се врзуваат со цел да се има увид кога некој ќе се поврзе од дома, односно инженерите кои го следат тоа да имаат претстава дека токму нивните вработени се врзани на системот.

 


 

Официјален документ за пач на OpenSSL:

OpenSSL Security Advisory [07 Apr 2014]