Неодамна беше отриен пропуст во OpenSSL која во голема мера претставува закана за безбедноста на Интернетот. Грешката овозможува експлоатација на меморијата на било кој сервер кој го има имплементирано SSL/TLS протоколот. Heartbeat e екстензија на TLS протоколот која ја одржува отворена TLS сесијата, иако нема проток на информации подолг период, ова го прави со испраќање на порака „heartbeat request“. Уште пострашно е што грешката е направена пред две години, и не може да се знае дали е намерно направена или пак дали е злоупотребена од властите како NSA или криминалците. Слабоста на OpenSSL 1.0.1-1.0.1f е во тоа што не се проверува дали големината на пакетот кој е испратен соодветствува на реалната големина ја има пакетот. Зулифкар Рамзан од MIT за Techcrunch направи одлично видео во кое на едноставен начин објаснува како се одвива нападот.
OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics from Elastica Inc on Vimeo.
Најпрво напаѓачот го испраќа heartbeat барањето, со податоци со големина на пример еден бајт, во описот на големината на пакетот става различна, значително поголема бројка, на пример 65.536 бајти. Компјутерот кој го добива пакетот го запишува во својата меморија, во одреден момент овој компјутер ќе ги врати овие податоци, но бидејќи пакетот е само 1 бајт, а напаѓачот вели дека е 65,536 само првиот бајт ќе биде од оригиналната порака, останатите 65.535 се од OpenSSL меморијата.
(Сликата е на XKCD)
Уште поголеми проблеми настануваат поради содржината која може да биде присутна во повратниот пакет. Тука може да бидат запишани лозинки, содржини кои треба да бидат криптирани, но најголемата опасност е дека во овие податоци ќе бидат клучевите за криптирање и декриптирање. Ова ќе му овозможи на напаѓачот не само да ги разгледува сообраќајот кој би требало да е заштитен, туку во случај ако има зачувано комуникација која корисникот ја имал со комјутерот, да ги искористи клучевите и да ги декриптира податоците. Освен ова напаѓачот може да го повторува нападот повеќе пати со што би дошол до различен сет на податоци. Според поголемите компании Yahoo, Twitter, LastPass, Google, Microsoft, грешката е поправена, системите се надоградени и корисниците не треба да се грижат. Но, тоа остава куп други сајтови кои можеби или не се закрпени.
“Ова е навистина големо. Огромен е бројот на сервери кои што се ранливи од оваа безбедносна дупка. Ќе помине доста време додека се санираат последиците од овој инцидент. Ова е од причина што освен што ќе треба да се инсталира официјална закрпа за openssl библиотеката, ќе треба и да се реиздадат нови сертификати од CA бидејќи постоечките има добри шанси да се веќе компромитирани. И најстрашното, има гласини дека оваа грешка била користена во одредени сценариа во последните 2-3 години”, вели Стефан Петрушевски, истражувач од Zerosience Lab.
Доколку се размислувавте до кој податоци би можел да дојде напаѓачот, најверојатно по одличното објаснување на професорот Рамзан, ви е појасно дека напаѓачот може да дојде до буквално сите податоци од вашите сесии. Поради ова, барем додека не се среди пропустот, најдобро е да проверите дали сајтот на кој му пристапувате го решил овој проблем. За ова може да го користите претходно предложениот сервис http://www.possible.lv/tools/hb/?domain=или екстензијата за Google Chrome, Chrome Bleed. Екстензијата по инсталирањето работи во позадина и проверува дали сајтот кој го посетувате е подложен на Heartbleed напад и покрај тоа што е едноставна за користење дел од корисниците се жалат на бавноста и тоа што понекогаш се случува Chromebleed да ги извести дека страната е подложна на напад дури откако ќе ги внесат корисничкото име и лозинката.
Како корисници не може да направиме ништо околу Heartbleed, ниту да знаеме дали некој има украдено податоци. Но, доколку некој сајт ве извести дека ја закрпиле грешката и дека треба да си ја смените лозинката, тогаш сменете си ја лозинката.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
