Przeszukaj Wiedzodajnię

Przejdź do wyszukiwarki globalnej

Poradniki na Twój Email

Praktyczne informacje i specjalne oferty prosto na Twoją skrzynkę email.

Wpisz Email: 
 

Ostatnie Artykuły

Jak dodać pasek z informacją o ciasteczkach
 
Apptiker - czyli narzędzia dla strony www
 
Mierzymy wydajność strony internetowej
 
Mniej znane funkcje Google
 
Wielkie zmiany w Google
 

Ostatni komentarz

Subskrybuj kanał RSS

Kanał RSS

Od teraz o wszystkim co godne uwagi dowiesz się błyskawicznie.

U nas jesteś bezpieczny

website security

Ty też możesz chronić stronę i swoich Klientów. Sprawdź szczegóły.

Apptiker

Heartbleed - groźna dziura w OpenSSL

Autor: , Data publikacji , Kategoria: Porady, Bezpieczeństwo;
Heartbleed - groźna dziura w OpenSSL

Luka ta umożliwia kradzież informacji chronionych w normalnych warunkach przez szyfrowania SSL/TLS używane do zabezpiczenia Internetu. Podatne na ataki są wersje OpenSLL od 1.0.1 do 1.0.1.f oraz OpenSLL 1.0.2-beta. Starsze wersje nie są podatne, jakkolwiek wcześniejsze błędy w TLS (np. atak BEAST) wymusiły aktualizację do nowszych, jeszcze bardziej dziurawych wersji.

Jakie dane są narażone

Przeprowadzając atak na OpenSSL, który jest podatny możliwe jest zdobycie kluczy prywatnych do certyfikatu SSL, wszystkich haseł administratorów i użytkowników czy tokenów sesyjnych, co pozwala na podszycie się pod serwer lub deszyfrację ruchu skierowanego do oficjalnego serwera. Hakerzy mogą również wykorzystać ten błąd w celu skopiowania fragmentów pamięci z naszego komputera, co daje im odstęp do edytowanych przez nas plików, obrazów, a także haseł.

Biblioteka OpenSSL jest używana przez ok. 2/3 serwerów www Internecie, korzystają z niej również klienty poczty elektronicznej i inne oprogramowanie.

Jakie podjąć kroki

Nie wiadomo czy luka była wykorzystywana przez hakerów, ale nie należy wykluczać, że była znana w pewnych kręgach. Oznacza to, że przez ostatnie 2 lata twoje klucze prywatne do certyfikatu SLL mogły zostać skradzione, co umożliwiłoby deszyfrowanie ruchu do twojego serwera. Z tego powodu należy jak najszybciej podjąć kroki zapewniające bezpieczeństwo danym.

Pierwszy - to weryfikacja czy dany serwer jest dziurawy. Umożliwia to dostępny w Internecie test.

Kolejnym krokiem jest aktualizacja pakietu OpenSSL do wersji 1.0.1g lub, jeśli to nie jest możliwe, rekompliacja OpenSLL z flagą -DOPENSSL_NO_HEARTBEATS

W związku z tym, że ewntualny atak nie pozostawiłby żadnego śladu na naszych urządzeniach i serwerach, po aktualizacji OpenSSL zaleca się:

  • wymianę certyfikatu SSL na nowy (to może wiązać się z kosztami zakupu nowego certyfikatu)
  • zmianę haseł administratora i/lub użytkowników (mogły zostać podsłuchane)
  • skasowanie aktywnych tokenów sesyjnych na webserwerze (mogły zostać podsłuchane)

Poniżej wideo wyjaśniające zasadę działania Heartbleed:

Źródło: http://niebezpiecznik.pl/

 

Ocena: 54321 (5.00/5), bazuje na 1 głosie.

 

Udostępnij ten artykuł innym:

 

Podobne artykuły

 
comments powered by Disqus

Hosting

Rejestracja domen

Tworzymy strony WWW

Firma

Platforma hostingowa o12.pl . 2003-2018