Massiver Fehler in OpenSSL gefährdet das Internet
Wenn Sie zu den Leuten gehören, die immer daran geglaubt haben, dass Open-Source-Kryptografie die sicherste Art ist, online zu kommunizieren, werden Sie überrascht sein.
Diese Woche hat Neel Mehta, ein Mitglied des Sicherheitsteams von Google, das Entwicklungsteam von OpenSSL darüber informiert, dass es einen Exploit mit OpenSSLs gibt “Herzschlag” Merkmal. Google entdeckte den Fehler, als er mit der Sicherheitsfirma Codenomicon zusammenarbeitete, um seine eigenen Server zu hacken. Nach der Benachrichtigung von Google veröffentlichte das OpenSSL-Team am 7. April eine eigene Sicherheitsempfehlung sowie einen Notfall-Patch für den Fehler.
Der Fehler wurde bereits mit dem Spitznamen versehen “Heartbleed” von Sicherheitsanalysten Sicherheitsexperte Bruce Schneier zu Kennwörtern, Datenschutz und Vertrauen Sicherheitsexperte Bruce Schneier zu Kennwörtern, Datenschutz und Vertrauen Erfahren Sie in unserem Interview mit dem Sicherheitsexperten Bruce Schneier mehr über Sicherheit und Datenschutz. Lesen Sie mehr, weil es OpenSSLs verwendet “Herzschlag” Mit dieser Funktion kann ein System, auf dem OpenSSL ausgeführt wird, dazu gebracht werden, vertrauliche Informationen offenzulegen, die im Systemspeicher gespeichert werden können. Während viele der im Speicher abgelegten Informationen für Hacker nicht besonders wertvoll sind, erfasst der Edelstein genau die Schlüssel, die das System zum Verschlüsseln der Kommunikation verwendet. 5 Möglichkeiten, Ihre Dateien sicher in der Cloud zu verschlüsseln 5 Möglichkeiten, Ihre Dateien sicher zu verschlüsseln Cloud Ihre Dateien werden möglicherweise während der Übertragung und auf den Servern des Cloud-Providers verschlüsselt. Das Cloud-Storage-Unternehmen kann sie jedoch entschlüsseln. Jeder, der Zugriff auf Ihr Konto erhält, kann die Dateien anzeigen. Clientseitig… Lesen Sie mehr .
Sobald die Schlüssel erhalten wurden, können Hacker die Kommunikation entschlüsseln und sensible Informationen wie Kennwörter, Kreditkartennummern und mehr erfassen. Die einzige Voraussetzung, um diese vertraulichen Schlüssel zu erhalten, besteht darin, die verschlüsselten Daten lange genug vom Server zu verbrauchen, um die Schlüssel zu erfassen. Der Angriff ist nicht nachweisbar und nicht auffindbar.
Der OpenSSL-Heartbeat-Fehler
Die Auswirkungen dieses Sicherheitsfehlers sind enorm. OpenSSL wurde im Dezember 2011 gegründet und entwickelte sich rasch zu einer kryptographischen Bibliothek, die von Unternehmen und Organisationen im gesamten Internet zur Verschlüsselung vertraulicher Informationen und Kommunikation verwendet wird. Dies ist die Verschlüsselung des Apache-Webservers, auf der fast die Hälfte aller Websites im Internet aufbaut.
Laut dem OpenSSL-Team besteht die Sicherheitslücke in einem Softwarefehler.
“Eine fehlende Begrenzungsprüfung beim Umgang mit der TLS-Heartbeat-Erweiterung kann verwendet werden, um einem verbundenen Client oder Server bis zu 64 KB Arbeitsspeicher bereitzustellen. Betroffen sind nur die Versionen 1.0.1 und 1.0.2-beta von OpenSSL, einschließlich 1.0.1f und 1.0.2-beta1.”
Hacker könnten diese Schwachstelle ausnutzen, um keine Spuren in den Serverprotokollen zu hinterlassen, um verschlüsselte Daten von einigen der empfindlichsten Server im Internet zu erhalten, wie z. B. Bank-Webserver, Server von Kreditkartenfirmen, Zahlungswebsites usw..
Die Wahrscheinlichkeit, dass Hacker die geheimen Schlüssel erhalten, bleibt jedoch fraglich, da Adam Langley, ein Google-Sicherheitsexperte, in seinen Twitter-Stream geschrieben hat, dass seine eigenen Tests nicht so sensibel wie geheime Verschlüsselungsschlüssel waren.
In seiner Sicherheitsempfehlung vom 7. April empfahl das OpenSSL-Team ein sofortiges Upgrade und einen alternativen Fix für Server-Administratoren, die kein Upgrade durchführen können.
“Betroffene Benutzer sollten auf OpenSSL 1.0.1g aktualisieren. Benutzer, die nicht sofort ein Upgrade durchführen können, können OpenSSL alternativ mit -DOPENSSL_NO_HEARTBEATS erneut kompilieren. 1.0.2 wird in 1.0.2-beta2 behoben.”
Aufgrund der Verbreitung von OpenSSL im gesamten Internet in den letzten zwei Jahren ist die Wahrscheinlichkeit, dass die Google-Ankündigung zu drohenden Angriffen führt, ziemlich hoch. Die Auswirkungen dieser Angriffe können jedoch durch möglichst viele Serveradministratoren und Sicherheitsmanager gemindert werden, die ihre Unternehmenssysteme auf OpenSSL 1.0.1g aktualisieren.
Quelle: OpenSSL
Erfahren Sie mehr über: Online-Sicherheit, OpenSSL, Kennwort, SSL.