Acesso de alto desempenho para armazenamento de arquivos
Robin Seggelmann, que, acidentalmente, introduziu o Heartbleed bug-vazamento de senha no OpenSSL, diz que as pessoas não o suficiente estão examinando a biblioteca de criptografia crucial.
A falha Heartbleed , que foi revelado na segunda-feira e enviou ondas de choque através do mundo da TI durante toda a semana, permite que atacantes para chegar do outro lado da internet e silenciosamente sifão senhas, cripto-chaves e outras informações sensíveis a partir de sistemas vulneráveis.
Qualquer máquina, seja servidor do seu banco HTTPS web ou o seu roteador em casa ou o seu telefone móvel, que utiliza OpenSSL 1.0.1 para 1.0.1f para conexões seguras está em risco, graças ao bug Heartbleed. Uma nova versão da biblioteca, 1.0.1g, é fora agora que corrige a falha, e deve ser instalado o mais breve possível -, então regenerar chaves, atualizando certificados SSL e alteração de senhas pode começar .
Se um espião do governo ou meliante pode pegar chave SSL privada de um servidor, então, nas condições certas, qualquer tráfego criptografado anteriormente eavesdropped pode ser decifrado, ou o atacante pode mascarar como o servidor - embora extrair a chave secreta em particular não é tarefa fácil.
After The Reg entrou em contato com Robin Seggelmann esta manhã, nos foi dado um comunicado pelo seu empregador, a Deutsche Telekom na Alemanha.
Nessa missiva, o promotor admitiu que acidentalmente estragou a implementação de um recurso de keep-alive chamado TLS pulsação Extensão para OpenSSL, que estava comprometido com o código-fonte da biblioteca na véspera de Ano Novo em 2011. Essencialmente, ele se esqueceu de verificar o tamanho do uma mensagem recebida, permitindo que os meliantes para tirar um instantâneo do funcionamento interno do software atacado e extrair dados sensíveis que fluem através da memória.
"A possibilidade surgiu que o acesso concedido aos dados relevantes para a segurança, e um erro muito simples agora tem sérias conseqüências", disse hoje Seggelmann do bug Heartbleed. "Se o bug agora conhecido e fixo tem sido explorado por agências de inteligência ou outros é difícil de avaliar."
Abrir feridas abertas ou fonte?
O cerne da questão é que o OpenSSL é usado por milhões e milhões de pessoas, mesmo que eles não sabem, mas este software de criptografia vital - usado para proteger as compras online e operações bancárias, aplicações móveis, VPNs e muito mais - tem uma equipe de desenvolvedores do núcleo de apenas quatro voluntários que dependem de doações e patrocínios . O código da biblioteca é livre e de código aberto, e é utilizado em inúmeros produtos e programas, mas Seggelmann e outros apontam que o projeto recebe pouca ajuda.
Hey empresas que utilizam OpenSSL: quantos $ $ você gastou recuperando de Heartbleed? Por que não financiar OpenSSL para que ele não volte a acontecer?
- Matthew Green (@ matthew_d_green) 08 de abril de 2014 "É importante para monitorar software crítico e relacionado com a segurança o mais rápido possível Esta é a grande vantagem do software de código aberto:. Que está disponível gratuitamente para qualquer pessoa que queira participar", explicou Seggelmann esta tarde.
"Infelizmente, apesar de muito ampla distribuição e uso por milhões de usuários, OpenSSL não tem suporte adequado. Apesar dos seus muitos usuários, há muito poucos que participam ativamente no projeto."
Do OpenSSL código está aqui para examinar - e a teoria diz que "dado olhos suficientes, todos os erros são triviais", significando que, fazendo os planos públicos, falhas devem ser rapidamente descoberto e corrigido. Mas Heartbleed mostrou que, talvez, apenas dois pares de olhos - Seggelmann do OpenSSL e núcleo desenvolvedor Dr. Stephen Henson, que cometeu a atualização batimentos cardíacos - estudou o código defeituoso antes de ser cegamente engolia por outros fabricantes de software e desenvolvedores. E para um pacote tão crítica, que não parece certo.
"Infelizmente, até mesmo o desenvolvedor OpenSSL que conduziu a revisão do código não notou a falta de verificação", disse Seggelmann. "Assim, o código defeituoso foi adotado na versão de desenvolvimento, que mais tarde tornou-se a versão publicada."
As pessoas já estão se perguntando em voz alta por que mais dinheiro não está sendo jogado em OpenSSL, assumindo que irá fazer o truque de fixar os seus bugs. Gratuito TrueCrypt ferramenta de criptografia de disco, favorecida pela NSA denunciante Ed Snowden, está sendo auditado para vulnerabilidades depois que os pesquisadores de segurança levantou cerca de US $ 60.000 em doações para financiar o esforço, provando que há uma demanda para o escrutínio de software disponível gratuitamente.
Mas auditoria OpenSSL é uma tarefa difícil: tem 429.699 linhas de código de acordo com uma análise SLOCCount , cerca de 73 por cento dos que está em C, e seu código é, digamos, não-trivial em lugares . Seria talvez custar cerca de US $ 15.7m para desenvolver a partir do zero, com uma equipe de 35 programadores ao longo de três anos.
As conseqüências dessa pequena, mas devastador bug
Vários sabores do sistema operacional Linux potencialmente enviado um código OpenSSL quebrado, incluindo Debian Wheezy, o Ubuntu 12.04.4 LTS, o OpenBSD 5.3, FreeBSD 10.0, e OpenSUSE 12.2; Líder OpenBSD Theo de Raadt teve algumas palavras bem escolhidas sobre o bug. Apple OS X e iOS software, e seus sites, foram não vulnerável , e nem foram o Microsoft Windows eo Azure cloud , simplesmente porque Redmond usa sua própria suíte de SSL / TLS.
Google Android 4.1.1 é vulnerável , o que afeta um grande número de telefones móveis. O rei web também teve que corrigir seu serviço de nuvem SQL e Google Search Appliances, além de seus serviços web: Pesquisa, Gmail, YouTube, Wallet, Play, Apps e Google App Engine. Amazon também teve de corrigir seus serviços de nuvem. Google e Amazon usuários devem escolher novas senhas apenas no caso de eles vazaram por Heartbleed.
Websites Facebook, Se isto que, Tumblr, Yahoo! e Yahoo! Mail todos tiveram de atualizar seus servidores para o bug splat-vazamento de dados, e todos exortar seus usuários agora alterar suas senhas de conta.
E 16 produtos de rede da Cisco e Juniper algum kit de rede são afetados por Heartbleed. A lista de histórias de horror continua aqui .
El Reg tentou entrar em contato com o Dr. Henson para comentar o assunto, mas ele não estava disponível para responder imediatamente. ®
Nenhum comentário:
Postar um comentário