וִידֵאוֹ: ש××× ×ס×××- - -×ר×××ת ×¢× ×¤×¨×¡×××ת (אוֹקְטוֹבֶּר 2024)
SSL, קיצור של שכבת שקעים מאובטחים, הוא זה שמכניס את ה- S ל- HTTPS. משתמשים מנוסים יודעים לחפש HTTPS בסרגל הכתובות לפני שהם מזינים מידע רגיש באתר כלשהו. פוסטי ה- SecurityWatch שלנו נוהגים לנזוף באפליקציות אנדרואיד המעבירות נתונים אישיים מבלי להשתמש ב- SSL. אבוי, החיידק "Heartbleed" שהתגלה לאחרונה מאפשר לתוקפים ליירט תקשורת מוגנת SSL.
החיידק נקרא Heartbleed מכיוון שהוא מתקפל בחזרה על תכונה הנקראת פעימות לב, משפיע על גרסאות ספציפיות של ספריית הקריפטוגרפיה OpenSSL הנפוצה. על פי האתר שנוצר כדי לדווח על Heartbleed, נתח השוק המשולב של שני שרתי האינטרנט הגדולים בקוד הפתוח המשתמשים ב- OpenSSL הוא יותר מ -66 אחוזים. OpenSSL משמש גם לאבטחת דוא"ל, שרתי צ'אט, VPN ו- "מגוון רחב של תוכנות לקוח." זה בכל מקום.
זה רע, באמת רע
תוקף שמנצל את הבאג הזה מרוויח את היכולת לקרוא נתונים המאוחסנים בזיכרון השרת המושפע, כולל מקשי ההצפנה החשובים. ניתן ללכוד גם שמות וסיסמאות של משתמשים ומכלול התוכן המוצפן. על פי האתר, "זה מאפשר לתוקפים לצותת תקשורת, לגנוב נתונים ישירות מהשירותים והמשתמשים ולהתחזות לשירותים ומשתמשים."
האתר ממשיך ומציין כי לכידת מפתחות סודיים "מאפשרת לתוקף לפענח כל תנועה בעבר ובעתיד לשירותים המוגנים." הפיתרון היחיד הוא לעדכן לגרסה האחרונה ביותר של OpenSSL, לבטל את המפתחות הגנובים ולהנפיק מפתחות חדשים. גם אז, אם התוקף יירט ואחסן תנועה מוצפנת בעבר, המפתחות שנלכדו יפענחו אותה.
מה אפשר לעשות
באג זה התגלה באופן עצמאי על ידי שתי קבוצות שונות, זוג חוקרים מקודנומיקון וחוקר אבטחה של גוגל. ההצעה החזקה שלהם היא ש- OpenSSL ישחרר גרסה שמבטלת לחלוטין את התכונה של פעימות הלב. עם הוצאת המהדורה החדשה ההיא, ניתן היה לאתר התקנות פגיעות מכיוון שרק הם יגיבו לאות פעימות הלב, מה שמאפשר "תגובה מתואמת בקנה מידה גדול להגיע לבעלי שירותים פגיעים."
קהילת הביטחון מתייחסת לבעיה זו ברצינות. תוכלו למצוא הערות בנושא באתר ה- US-CERT (צוות מוכנות לשעת חירום של ארצות הברית), למשל. אתה יכול לבדוק את השרתים שלך כאן כדי לראות אם הם פגיעים.
אבוי, אין סוף טוב לסיפור הזה. ההתקפה לא משאירה עקבות, כך שגם לאחר שאתר פותר את הבעיה, אין לדעת אם הנוכלים הקישו נתונים פרטיים. לפי אתר Heartbleed, מערכת IPS (מערכת מניעת חדירות) תהיה קשה להבדיל בין התקיפה לבין תנועה מוצפנת רגילה. אני לא יודע איך הסיפור הזה נגמר; אני אחזור ונדווח כשיש עוד מה לספר.
