Om du är en av de personer som alltid har trott att kryptering med öppen källkod är det säkraste sättet att kommunicera på nätet, är du in för lite överraskning.
I veckan informerade Neel Mehta, en medlem av Googles säkerhetslag, utvecklingslaget på OpenSSL om att ett utnyttjande existerar med OpenSSLs "heartbeat" -funktion. Google upptäckte buggan när han arbetade med säkerhetsföretaget Codenomicon för att försöka hacka sina egna servrar. Efter Googles anmälan släppte OpenSSL-laget den 7 april sin egen säkerhetsrådgivning tillsammans med en nödlatch för felet.
Buggen har redan fått smeknamnet "Heartbleed" av säkerhetsanalytiker Säkerhetsexpert Bruce Schneier på lösenord, sekretess och förtroende säkerhetsexpert Bruce Schneier om lösenord, sekretess och förtroende Läs mer om säkerhet och integritet i vår intervju med säkerhetsexpert Bruce Schneier. Läs mer, eftersom det använder OpenSSLs "heartbeat" -funktion för att lura ett system som kör OpenSSL för att avslöja känslig information som kan lagras i systemminnet. Medan mycket av informationen som lagras i minnet kanske inte har mycket värde för hackare, skulle pärlan fånga de nycklar som systemet använder för att kryptera kommunikationen. 5 sätt att säkert kryptera dina filer i molnet. 5 sätt att säkert kryptera dina filer i Cloud Dina filer kan krypteras i transit och på molnleverantörens servrar, men molnlagringsföretaget kan dekryptera dem - och alla som får tillgång till ditt konto kan se filerna. Klientsidan ... Läs mer.
När nycklarna har uppnåtts kan hackare sedan dekryptera kommunikation och fånga känslig information som lösenord, kreditkortsnummer och mer. Det enda kravet på att få de känsliga nycklarna är att konsumera krypterade data från servern tillräckligt länge för att fånga nycklarna. Anfallet är odetekterbart och oåtkomligt.
OpenSSL Heartbeat Bug
Förgreningarna från denna säkerhetsfel är enorma. OpenSSL grundades först i december 2011 och blev snabbt ett kryptografiskt bibliotek som används av företag och organisationer runt om i världen för att kryptera känslig information och kommunikation. Det är krypteringen som används av Apache webbservern, vilken nästan hälften av alla webbplatser på Internet bygger på.
Enligt OpenSSL-teamet kommer säkerhetshålet från en programvarufel.
"En kontrollerad sak i gränsen för hanteringen av TLS-hjärtslagsförlängningen kan användas för att avslöja upp till 64 k minne till en ansluten klient eller server. Endast 1.0.1 och 1.0.2-beta utgåvor av OpenSSL påverkas inklusive 1.0.1f och 1.0.2-beta1. "
Utan att lämna spår på serverns loggar kan hackare utnyttja denna svaghet för att erhålla krypterad data från några av de mest känsliga servrarna på Internet, som bankwebservrar, kreditkortsföretag, betalningswebbsidor med mera.
Sannolikheten för att hackare erhåller de hemliga nycklarna är fortfarande ifråga, eftersom Adam Langley, en säkerhetssäkerhetsexpert från Google, skickade till sin Twitter-ström, att hans egna test inte visade upp någonting så känsligt som hemliga krypteringsnycklar.
I sin säkerhetsrådgivning den 7 april rekommenderade OpenSSL-teamet en omedelbar uppgradering och en alternativ lösning för serveradministratörer som inte kan uppgradera.
"Berörda användare ska uppgradera till OpenSSL 1.0.1g. Användare som inte kan omedelbart uppgradera kan alternativt kompilera OpenSSL med -DOPENSSL_NO_HEARTBEATS. 1.0.2 kommer att fixas i 1.0.2-beta2. "
På grund av spridningen av OpenSSL över hela internet under de senaste två åren är sannolikheten för att Google-meddelandet leder till övergående attacker ganska högt. Effekterna av dessa attacker kan dock mildras av så många serveradministratörer och säkerhetschefer som uppgraderar sina företagsystem till OpenSSL 1.0.1g så snart som möjligt.
Källa: OpenSSL