Hàng loạt các cổng thanh toán điện tử và ngân hàng dính lỗi bảo mật OpenSSL Heart

Phát hiện ra một lỗi rò rỉ bộ nhớ trong OpenSSL có nghĩa là mỗi người dùng internet có thể đã bị ảnh hưởng trực tiếp hoặc gián tiếp .

OpenSSL Heart

OpenSSL Heart

Được mệnh danh là ” Bug Heartbleed ” , lỗ hổng này cho phép ăn cắp thông tin mà thường sẽ được mã hóa bằng một phiên SSL / TLS an toàn trên internet .

Hoạt động hàng ngày Bitcoin khách hàng không trực tiếp sử dụng OpenSSL , tuy nhiên, Bitcoin lõi 0.9.0 ( và mỗi phiên bản trước ) sử dụng OpenSSL cho các cuộc gọi thủ tục từ xa (RPC) thông qua https . Chức năng mới được giới thiệu trong phiên bản 0.9.0 là khả năng lấy các yêu cầu thanh toán qua https và tính năng này , do đó, hiện không an toàn. Trong khi khách hàng Bitcoin Core sẽ được cập nhật để 0.9.1 để giải quyết các lỗ hổng OpenSSL , các nhà phát triển cốt lõi nhấn mạnh rằng các giao thức Bitcoin chính nó là không bị ảnh hưởng bởi lỗi Heartbleed .

Dễ bị tấn công trên diện rộng

Mã hóa SSL / TLS cung cấp thông tin liên lạc an toàn và tư nhân giữa người sử dụng và dịch vụ dựa trên web như các trang web , email, tin nhắn tức thời (IM) và mạng riêng ảo (VPN) , bao gồm Tor.

SSL trong trình duyệt

Theo một khóa màu xanh lá cây và quan trọng : một cảm giác sai về bảo mật
Các Heartbleed Bug (CVE-2014 – 0160 ) cho phép bất cứ ai rình mò trên một kết nối được bảo vệ bởi các phiên bản OpenSSL dễ bị tổn thương , để có được khóa phiên bị rò rỉ và , do đó, nghe trộm thông tin liên lạc , có được dữ liệu (bao gồm tên người dùng và mật khẩu ) và đóng vai người dùng và dịch vụ .

Các lỗi ( trong OpenSSL 1.0.1) lần đầu tiên được giới thiệu tháng ba năm 2012 và đã được ra trong tự nhiên trong hai năm cho đến khi nó được phát hiện và cố định trên 07 Tháng Tư 2014 .

Tại sao là ” Heartbleed ” ?

Giao thức bảo mật lớp truyền tải OpenSSL của thực hiện một nhịp tim giữa máy khách và máy chủ đầu của kết nối . Việc khai thác này gây ra nhịp tim rò rỉ bộ nhớ được truyền hai chiều và in-the- rõ ràng giữa khách hàng và máy chủ.

Một là SSL / TLS Thiết kế khuyết điểm này ?

Số Đó là chỉ là một vấn đề thực hiện ( lỗi lập trình ) trong các phiên bản OpenSSL từ 1.0.1 . Các phiên bản trước không có lỗi Heartbleed .

Leaked là gì ?

Https

Https

Trang bị chỉ với mục đích nghe trộm và một số công cụ không có đặc quyền cơ bản một kẻ tấn công có thể có được khóa bí mật được sử dụng cho các chứng chỉ X.509 lõi được dùng bởi OpenSSL ; và sau đó tiến hành để có được :

tên người dùng và mật khẩu,
tin nhắn tức thời ,
email và
hầu hết các dữ liệu nhạy cảm mà một thường sẽ truy cập thông qua ” khai thác gỗ trong ” các trang web và dịch vụ trực tuyến .

Bạ̣n có thể bi ảnh hưởng ?

Nếu bạn sử dụng internet , thì câu trả lời là “có” . OpenSSL là một thư viện mã hóa phổ biến nhất được sử dụng để mã hóa lưu lượng truy cập trên web.

Một cuộc khảo sát gần đây cho thấy rằng các máy chủ web mã nguồn mở , Apache và Nginx, chạy 66 % các trang web trên web. Theo mặc định, họ sử dụng OpenSSL .

Sử dụng rộng rãi của postfix và máy chủ email nguồn mở khác cũng có nghĩa là các kết nối SMTP được cho là an toàn , POP và IMAP đã dễ bị tổn thương – tất cả những email được gửi và nhận, trong khoảng thời gian 2 năm.

OpenVPN, cho là giải pháp phổ biến nhất VPN được cung cấp bởi các nhà cung cấp , sử dụng OpenSSL để an toàn và mã hóa các kết nối WAN tin .

Tor , con cưng của Dark Web , sử dụng OpenSSL để vượt qua lưu lượng truy cập được mã hóa một cách an toàn giữa chuyển tiếp. Có thể hình dung , với các địa chỉ IP của hầu hết các rơ le Tor là kiến thức công cộng , giao thông Tor trong hai năm qua đã được dưới kính hiển vi , thay vì chiếc áo choàng mà người lướt vô danh giả định.

Những gì phiên bản của OpenSSL bị ảnh hưởng?

Tình trạng của các phiên bản khác nhau :

OpenSSL 1.0.1 thông qua 1.0.1f (bao gồm) dễ bị tổn thương
OpenSSL 1.0.1g là không dễ bị tổn thương
OpenSSL 1.0.0 chi nhánh là không dễ bị tổn thương
OpenSSL 0.9.8 chi nhánh là không dễ bị tổn thương
Dễ bị tổn thương hệ điều hành

Một số bản phân phối hệ điều hành mã nguồn mở đã được vận chuyển với khả năng dễ bị tổn thương phiên bản OpenSSL :

Debian Wheezy ( ổn định), OpenSSL 1.0.1e -2 + deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1 – 4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e -15
Fedora 18 , OpenSSL 1.0.1e -4
OpenBSD 5.3 ( OpenSSL 1.0.1c ngày 10 tháng 5 năm 2012 ) và 5,4 ( OpenSSL 1.0.1c ngày 10 tháng 5 năm 2012 )
FreeBSD 8.4 ( OpenSSL 1.0.1e ) và 9.1 ( OpenSSL 1.0.1c )
NetBSD 5.0.2 ( OpenSSL 1.0.1e )
OpenSUSE 12.2 ( OpenSSL 1.0.1c )
Tôi có thể làm gì?

Nâng cấp lên phiên bản mới nhất cố định OpenSSL 1.0.1g hoặc mới hơn. Bắt đầu một dự án có hệ thống để cải thiện phương pháp mật khẩu của bạn và cập nhật tất cả các mật khẩu cho các tiêu chuẩn mới được cải thiện của bạn.

Nếu một gói nâng cấp là chưa có sẵn cho hệ điều hành của bạn , các nhà phát triển phần mềm có thể biên dịch lại OpenSSL với những cái bắt tay loại bỏ từ mã bằng cách lựa chọn thời gian biên dịch

– DOPENSSL_NO_HEARTBEATS
Xem xét tất cả các tên người dùng một mật khẩu được sử dụng trong hai năm qua là thỏa hiệp. Trong khi không phải tất cả các trang web mã hóa SSL ( https) sử dụng OpenSSL , đó là khó khăn cho người dùng cuối để xác định phiên bản chính xác . Ngoài ra, một kẻ tấn công hoặc kẻ nghe trộm không để lại dấu vết được biết đến hoạt động của họ.

Nếu bạn là một người sử dụng Bitcoin Core và bạn đã kích hoạt RPC qua SSL, bạn cần phải nâng cấp lên ít nhất OpenSSL 1.0.1g và tái tạo chính máy chủ SSL và chứng chỉ. Người dùng muốn lấy các yêu cầu thanh toán qua SSL nên ngưng sử dụng dịch vụ này cho đến khi cập nhật 0.9.1 cốt lõi đã trở thành rộng rãi thông qua.