Heartbleed sigurnosni propust kompromitira enkripciju Yahoo servera

Izvor: JavneVesti.com, 13.Apr.2014, 23:25   (ažurirano 02.Apr.2020.)

'Heartbleed' sigurnosni propust kompromitira enkripciju Yahoo servera

Otkriven najveći sigurnosni propust u povijesti internet komunikacije. Računalna pogreška imena 'Heartbleed' efektivno poništava enkripciju.
 
Mana u software-u koji se naširoko koristi da osigura Web komunikacije (SSL) dozvoljava da se kompromitira sigurnost tako što dozvoljava da visoko osjetljivi podaci budu izloženi, kao npr. Korisnička imena, Lozinke, podaci od kreditne kartice i sl. Neki tvrde da su već izvukli na stotine Yahoo lozinki.
 
Problem, o kojem >> Pročitaj celu vest na sajtu JavneVesti.com << se naširoko razgovara u IT krugovima je open-source software naziva OpenSSL koji se koristi da enkriptira Web komunikacije. Slabost protokola, naziva 'Heartbleed' dozvoljava da se efektno otkriju sadržaji iz Serverske memorije gdje su najosjetljiviji podaci pohranjeni. To uključuje privatne podatke kao što su lozinke, brojevi kreditnih kartica ali i to da napadač može dobiti kopije serverskih digitalnih ključeva te ih koristiti da impersonira servere ili da dekriptira komunikacije iz prošlosti ili potencijalno i iz budućnosti.
 
Sigurnosne ranjivosti dolaze i odlaze, ali ova je ekstremno ozbiljna. Yahoo korporacija u svom obraćanju javnosti daje do znanja da radi na rješavanju problema. Kriptografski konzultant Filippo Valsorda je ponudio alat koji omogućuje ljudima da provjere ranjivost na Hartbleed. (http://filippo.io/Heartbleed/) Taj je alat pokazao da su Google, Microsoft, Twitter, Facebook, Dropbox, te nekoliko drugih glavnih Web site-ova prilično sigurni, no ne i Yahoo.
 
Ova sigurnosna ranjivost se službeno naziva CVE-2014-0160 i neformalno kao Hartbleed kako su je nazvali Codenomicon, sigurnosna firma i Google-ov istraživač Neel Mehta nakon što su otkrili problem.
 
Sigurnosna firma Codenomicon tvrdi; "Da bi testirali ranjivost, koristili smo Heartbleed na našim vlastitim serverima. Napali smo nas same od izvana bez da smo ostavili ikakav trag. Bez korištenja ikakvih privilegiranih informacija ukrali smo si tajne ključeve korištene za naše X.509 certifikate, korisnička imena i lozinke, instant poruke, e-mailove i dokumente kritične za business i komunikacije."
 
Ova sigurnosna ranjivost kompromitira verzije 1.0.1 i 1.0.2-beta izdanja OpenSSL serverskog software-a koji dolazi sa mnogim verzijama Linux-a i koji se koristi u popularnim Web serverima. OpenSSL je izdao verziju 1.0.1g da popravi pogrešku ali će mnogi Web site operatori biti u poteškoćama da nadograde software jer će i morati da odbace sigurnosne certifikate koji su sada već vjerojatno i kompromitirani.

Nastavak na JavneVesti.com...






Napomena: Ova vest je automatizovano (softverski) preuzeta sa sajta JavneVesti.com. Nije preneta ručno, niti proverena od strane uredništva portala "Vesti.rs", već je preneta automatski, računajući na savesnost i dobru nameru sajta JavneVesti.com. Ukoliko vest (članak) sadrži netačne navode, vređa nekog, ili krši nečija autorska prava - molimo Vas da nas o tome ODMAH obavestite obavestite kako bismo uklonili sporni sadržaj.