Video: How to generate and use a SSL certificate in NodeJS (Noiembrie 2024)
SSL, scurt pentru Secure Sockets Layer, este ceea ce pune S-ul în HTTPS. Utilizatorii înțelepți știu să caute HTTPS în bara de adrese înainte de a introduce informații sensibile pe un site web. Postările noastre SecurityWatch alungă frecvent aplicațiile Android care transmit date personale fără a utiliza SSL. Din păcate, recent descoperitul „Heartbleed” bug permite atacatorilor să intercepteze comunicarea protejată SSL.
Bug-ul se numește Heartbleed, pentru că este dotat cu o funcție numită bătăi de inimă, afectează versiuni specifice ale bibliotecii criptografice OpenSSL, pe scară largă. Potrivit site-ului web care a fost creat pentru a raporta Heartbleed, cota de piață combinată a celor mai mari două servere web open source folosind OpenSSL este mai mare de 66%. OpenSSL este, de asemenea, utilizat pentru a securiza e-mailul, serverele de chat, VPN-urile și „o mare varietate de software pentru clienți” Este peste tot.
Este rău, într-adevăr rău
Un atacator care profită de această eroare câștigă capacitatea de a citi datele stocate în memoria serverului afectat, inclusiv cheile de criptare importante. Numele și parolele utilizatorilor și totalitatea conținutului criptat pot fi de asemenea capturate. Potrivit site-ului, „Acest lucru le permite atacatorilor să audieze comunicările, să fure date direct de la servicii și utilizatori și să răspundă serviciilor și utilizatorilor”.
Site-ul continuă să constate că captarea cheilor secrete „permite atacatorului să decripteze orice trafic trecut sau viitor către serviciile protejate”. Singura soluție este să actualizați la cea mai recentă versiune a OpenSSL, să revocați cheile furate și să eliberați noi chei. Chiar și atunci, dacă atacatorul a interceptat și stocat traficul criptat în trecut, tastele capturate îl vor decripta.
Ce se poate face
Acest bug a fost descoperit independent de două grupuri diferite, o pereche de cercetători de la Codenomicon și un cercetător de securitate Google. Sugestia lor puternică este ca OpenSSL să lanseze o versiune care dezactivează complet funcția bătăilor inimii. Cu această nouă ediție extinsă, instalațiile vulnerabile ar putea fi detectate, deoarece numai acestea ar răspunde la semnalul bătăilor inimii, permițând „răspunsului coordonat la scară largă să ajungă la proprietarii serviciilor vulnerabile”.
Comunitatea de securitate ia această problemă în serios. De exemplu, veți găsi notificări pe site-ul US-CERT (Echipa de pregătire în caz de urgență a computerului din Statele Unite). Puteți testa propriile dvs. servere aici pentru a vedea dacă sunt vulnerabile.
Din păcate, nu există un final fericit al acestei povești. Atacul nu lasă urme, așa că, chiar și după ce un site web rezolvă problema, nu se spune dacă escrocii au atins date private. Potrivit site-ului Heartbleed, ar fi dificil ca un IPS (Sistemul de prevenire a intruziunilor) să distingă atacul de traficul criptat regulat. Nu știu cum se termină această poveste; O să raportez când vor mai fi de spus.