Güncellemeler 2014-04-11
Cloudflare, özel anahtar çıkartmanın gerçekten mümkün olduğunu doğrulamak için bir zorluk oluşturdu. Yaklaşık 100 bin istekle yapıldı ve korkuları doğruladı. Artık teorik değil, kanıtlanmış . Buraya okumak için buraya gidebilirsiniz .
Ayrıca Bloomberg , NSA'nın bu istismar hakkında en az iki yıl bildiğini bildirdi . Bu, NSA'nın tek işi bunun gibi bir yazılımda istismar bulmak olan analistleri işe almak için kaynaklara sahip olması anlamlıdır. Artık ABD hükümetinin, uzun zamandır diğer devletlerin bilmesi ve sömürmesi olasılığının önemli olduğunu, çok uzun süredir kullandığını biliyoruz.
TL; DR
Sistemlerin durumuyla ilgili kuruluşlardan duyuruları izleyin, TÜM şifrelerinizi değiştirin
ve bankacılık veya diğer finansal sistemler gibi önemli hesaplarda dolandırıcılık / şüpheli etkinlikleri izleyin.
Durumun neden bu kadar tehlikeli olduğunu anlamak için önce bu saldırının gerçekte ne yaptığını anlamamız gerekir. CVE-2014-0160, AKA Heartbleed, bir saldırganın savunmasız bir OpenSSL sürümü çalıştıran bir sunucudan 64 kB'ye kadar bellek almasına izin veren bir arabellek geçersiz kılma hatasıdır.
Bu gerçekten kötü geliyor. Uygulamada nasıl çalışır?
Haklısın, bu ciddi bir kusur ama biraz sonra buna geri döneceğiz. Şimdi, istismarın neden çalıştığı hakkında konuşalım. Aktarım Katmanı Güvenliği (TLS), HTTP ( HTTPS ) dahil birçok uygulama tarafından bilgi güvenliği sağlamak veya SMTP'yi güvence altına almak için kullanılır.örneğin etkinse. TLS'nin standartlarını belirleyen RFC 5246'da kalp atışı olarak bilinen bir işlev var. İstemci ve sunucu, daha sonra kullanılabilecek şekilde bağlantıyı canlı tutmak için ileri geri bazı veriler gönderir. Şimdi pratikte müşteri biraz veri gönderecek ve sunucu geri gönderecek ve her şey harika. Bununla birlikte, etkilenen OpenSSL sürümlerinde, müşterinin gerçekten söylediği veri miktarını gönderip göndermediğini kontrol etmek için herhangi bir kontrol yoktur. Eğer 1 byte gönderir ve sunucuya 64 kB gönderdiğimi söylersem, o zaman beni mutlu bir şekilde 64 kB geri gönderirim. Diğer baytlar nereden geliyor? İşte problemin anahtarı bu. OpenSSL size 1 byte'ınızın depolandığı yere bağlı olarak işlemin erişebildiği ve orijinal olarak gönderemediğiniz 64 kB - 1 bayt belleği geri gönderecek.Özel anahtar materyali¹ ve sunucunun şifresini çözmekte olduğu bilgisi. Buna örnekler: şifreler, kredi kartı bilgileri ve / veya PIN'ler .
TAMAM. Bilgi güvenliği için bu ne anlama geliyor?
Asimetrik şifrelemenin nasıl çalıştığını anlarsanız, açıklamanın şifrelemeyi şaşırtmaktan öteye götürmesi nedeniyle bunun ciddi olduğunu zaten biliyorsunuzdur. Bu, sunucular yamalı ve artık bellek sızdırıyor olmasa da, oturumların güvensiz olabileceği anlamına gelir. Halka açık bir şekilde tanınmadan önce veya yama yapılırken bu durumun istismar edilmesi olasıdır, ancak şu anda bir saldırının gerçekleştiğini kanıtlamak için hiçbir yöntem yoktur. IDS kuralları için uygun olabilir, ancak şu an için durum böyle değil. IDS kuralları serbest bırakıldı . Kendisi bu son derece tehlikelidir, çünkü operatörler anahtarlarının hala güvende olup olmadığını bilmiyorlar.
Anahtarların sızdırıldığını varsaymak zorundayız, bu da kablo üzerinden gönderdiğiniz her şeyin üçüncü bir tarafça çözülebilmesi anlamına geliyor. Bunu hafifletmenin tek yolu, anahtarların yenilenmesi ve eskilerinin iptal edilmesi sırasında yeni sertifikaların yeniden alınmasıdır. Maalesef, CA'ların şu anda bu taleplere su basması şüphesiz olduğu için bu zaman alıyor . Yine de bu , ortadaki bir adamın saldırı olasılığını veya diğer kimlik avı fırsatlarını bırakıyor .
Ne zaman güvenli olacak?
Ne zaman güvenli olacağını bilmek zor bir soru. İzlememi önereceğim bazı şeyler, hatanın kendi ortamlarına yattığını veya etkilenen sürümleri hiç kullanmadıkları için hiçbir zaman savunmasız olmadıklarını açıklayan kamuya duyurulardır. OpenSSL’nin yeni bir sürümüne yükseltme yaptıklarını açıkladıklarında , 2014-04-07’de olan istismarın kamuya açıklanmasından sonra imzalanan yeni bir sertifika kullandıklarından emin olacağım.
** Özel anahtar daha sonra sızdırılmışsa, önceden kaydedilmiş trafiğin şifresi çözülebilir.
Kendimi korumak için kullanıcı olarak ne yapabilirim
Önümüzdeki birkaç gün için, çevrimiçi bankacılık veya çevrimiçi tıbbi grafik erişimi gibi kritik siteleri kullanmaktan kaçınmanız durumunda, bunu yapmanızı öneririm. Bunu yapmak zorundaysanız, oturumunuzun potansiyel olarak risk altında olduğunu ve bunun sonuçlarını kabul etmeye hazır olduğunuzu anlayın. Ayrıca, kuruluşlar artık savunmasız olmadıklarını açıkladıktan sonra şifrenizi değiştirmelisiniz ; Bir şifre yöneticisi kullanarak yardımcı olabilirsiniz. Ayrıca banka bilgileri veya kredi kartı numaraları gibi kullandığınız diğer bilgileri değiştirmeye veya izlemeye de hazır olmalısınız.
Eylemcilere özel bildirim
Tor dahil, OpenSSL kullanan herhangi bir şey etkilenebilir . OpenSSL’e dahil edilmesinden bu yana iki yıldan daha uzun bir süre önce yayınlandığından, bu gibi istismarlar aramak için gerekli engin kaynaklara sahip olacaklarından, hükümetlerin bu açığı kullanabilmeleri mümkündür. artık özel olma.
** Mükemmel ileri güvenlik (PFS) uygulanmadıkça , özel anahtar daha sonra sızdırılmışsa önceden kaydedilmiş trafiğin şifresi çözülebilir .
Private- Özel anahtarların bellekte kalmayacağı iddiası var, ancak aynı zamanda başarılı anahtar çıkarma iddiaları da vardı. Bu noktada hangi tarafın doğru olduğu belirsizdir.