Didžiausias saugumo defektas Heartbleed kelia kritinių pavojų | LT.democraziakmzero.org

Didžiausias saugumo defektas Heartbleed kelia kritinių pavojų

Didžiausias saugumo defektas Heartbleed kelia kritinių pavojų

Per pusę internete galėjo pažeisti dviejų metų senumo saugumo spraga, kuri taip pat gali turėti įtakos daug interneto Bitcoin paslaugų, ji buvo atskleista šiandien.

Pažeidžiamumas, pavadintas "Heartbleed", paveikia versijas OpenSSL, atvirojo kodo įgyvendinimo SSL ir TLS Internet Security protokolai, užšifruoti ir saugaus interneto srauto, įskaitant: slaptažodžius, žinutes, e-komercijos ir bankų, ir kitų jautrių duomenų, įskaitant Virtualūs privatūs tinklai (VPN). OpenSSL yra populiariausias programinės įrangos biblioteką naudojamas šiam tikslui.

Du metai

Heartbleed trūkumas, kaip pranešama, buvo žinoma, kad mokslininkai nuo 2011, ir net "Black Hat" hakeriai nuo 2012, o tai reiškia svarbius duomenis apie didelę dalį interneto buvo atvirai prieinami metų. Būta nėra patvirtinti ataskaitos žygdarbius, nors išpuolių nepalieka pėdsakų.

Apsaugos administratoriai visame pasaulyje, dabar paskubomis taikant fix ir keičiant pažymėjimus ir slaptas klavišus akipločiu jie galėjo būti pažeista.

Kadangi ji silpnina bet kokią svetainę, naudodami saugaus "https protokolą, grėsmė yra ne specialiai Bitcoin paslaugas, pavyzdžiui, piniginės ir mainų. Tačiau atsižvelgiant institucijų tendencija ignoruoti Bitcoin vagystes ar nesugebėjimą veiksmingai jas ištirti, jis gali palikti Bitcoin paslaugas labiau pažeidžiamų nei "tradicinių" interneto finansinių ar kitų kritinių tie.

Pasitikrink savo tarnybų poreikius svetaines

Italų saugumo ekspertas Filippo Valsordabuilt internetinė testthat leidžia visiems įvesti serverio hostname pamatyti, jei ji veikia, ar ne. Jis taip pat parašė atviro kodo už bandymą į GitHub.

Tuo metu, raštu, atvykstantys pagrindiniai Bitcoin paslaugos adresai Valsorda svetainėje parodė, kad Blockchain, Coinbase ir BitPay buvo saugūs, tačiau, kad populiariausias pasaulyje mainai, Bitstamp, liko pažeidžiami.

Valsorda irgi buvo labiau susirūpinę interneto Bitcoin paslaugas nei kas nors būdingo kitomis priemonėmis, sakydamas, kad tai buvo "paprastas išnaudoti, o ne, kad greitai patch".

"Tai esminis pasakyti visiems, kad patikrinti visus savo serverius ir atnaujinti ASAP [.] Aš negaliu akivaizdžiai teigiamas apie ją, bet Bitcoin-specialios programinės įrangos (vietiniai aplankai ir tt) neturėtų būti daromas poveikis, net jei jie naudoja OpenSSL, nes klaida yra triggerable tik gyvų TLS jungtis. "

"Tačiau beveik viskas viešojo susiduria su Bitcoin ekosistemos yra (teisingai) pritvirtintas TLS (manau visi interneto piniginės, biržose, bet taip pat API ir pašto serverių) ir potencialiai (tikriausiai) įtakos."

Skuba pleistras programinė įranga, pasukti CERT

Tai apskaičiuota daugiau nei 50% interneto serverių naudotis kai OpenSSL formą (ir tikriausiai daug daugiau). Mintis, kad daugiau nei pusė interneto jautrių duomenų galėjo būti veikiami dvejus metus paliko saugumo departamentus prakaitavimas.

Išnaudoti Heartbleed, užpuolikas gali prieiti prie nukentėjusių sistemų RAM, leidžiant jiems pamatyti iki 64 kilobaitų duomenų vienu metu - pakankamai sukurti pakankamai žinių, kad galėtų prieiti prie sistemos paslaptis raktus. Šie mygtukai yra naudojami užšifruoti ir iššifruoti slaptą eismą ir nustatyti paslaugų teikėjams.

Kai slapti raktai patirtį, užpuolikai gali skaityti bet kokį srautą į ir iš serverio atvirai arba apsimesti paslaugas ir vartotojus.

Išpuoliai pažeidžiama sistema nereikalauja vyras-in-the-vidurinė metodus ir nepalieka pėdsakų, paliekant adminams be pabėgimas žinoti, jei buvo pažeista jų sistemos.

Iš galimos žalos mastas liko šiek tiek išvynioti:

Heartbleed yra retas klaidą: nesėkmė iš kriptografijos bibliotekos, kad nutekėjimas duomenis už ką jis apsaugoti. Taigi blogiau nei be šifravimo ne visiems.
- Matt Blaze (@mattblaze) 8. 2014 balandis

Mike Hearn, kūrėjas ir pirmininkas Bitcoin fondo teisės ir politikos komitetui, sakė jis tikėjosi ant Bitcoin paslaugomis poveikis būtų ribotas, tačiau pažymėjo, kad Bitcoin paslaugos ne visada dirba geriausią praktiką saugumui:

"Aš tikiuosi, kad poveikis bus ribotas. Pagrindiniai svetainės turės pasukti savo SSL raktus po atnaujinimo [.] Daugelis svetainių turi turėti asmeninius raktus savo piniginėse į kitą serverį procesas, kai duomenys gali būti išgauti šį būdą. Tačiau tai neturėtų stebinti, man, jei keletas svetainių neveikia tokiu būdu dėl kokių nors priežasčių ir gali nukentėti vagysčių. "

Įmonės reaguoti

Po naujienų, daug Bitcoin ir altcoin mainai paėmė į Twitter išduoti oficialius atsakymus ir atnaujinti vartotojus apie jų pažangą sprendžiant trūkumas.

#Bitstampturns off jos accregistration, turite prisijungti ir visų virtualių valiutų abstinencijos veikia kaip prevencine šių neseniai OpenSSL naujienas.

- Bitstamp (@Bitstamp Balandis) 8, 2014 m

Interviu su CoinDesk, Bitstamp Vadovas Nejc Kodrič atskleidė, kad nors bendrovė buvo lopas savo serverius sėkmingai, jos DDoS švelninimas teikėjas, Incapsula, turi daryti tą patį, siekiant užtikrinti visišką saugumą.

Taigi, keitimasis nusprendė likti "ant saugų pusėje" ir laikinai išjungti sąskaitos registracijos, sąskaitų prisijungimus ir visas virtualus valiuta abstinencijos funkcijas.

Kitos biržos jau nuo išduotas panašius pareiškimus per platformą, įskaitant Bitfinex - Neseniai Be CoinDesk anketa BPI.

Heartbleed Ištaisyta klaida dėl Bitfinex, pašalinimas yra išjungtas dabar kol mes įsitikinkite, kad kiekvienas yra saugus

- Bitfinex.com (@bitfinex Balandis) 8, 2014 m

Tuo tarpu, platformas, pavyzdžiui, localbitcoins.com ir Bitcurexhave pranešė didesnės sėkmės:

Mes vėl, heartbleed Ištaisyta klaida. Http://t.co/OwP9Ft1dE7

- LocalBitcoins.com (@LocalBitcoins Balandis) 8, 2014 m

Blockchain.info taip pat paskelbė pareiškimą per savo interneto svetainėje teigiama, kad jis atnaujintas paslaugas prieš savaitę. Bendrovė taip pat pabrėžė, kad piniginės slaptažodžiai niekada išsiųsti savo serveryje.

Ji pridūrė: "Mes bus toliau tirti, kiek reikia ir suteikti jums su visais reikalingais atnaujinimus."

Vieša informacija spaudai

Naujienos Heartbleed egzistavimo buvo išleistas Suomijos IT saugumo konsultacinė Codenomicon, kuris paskelbtas po "bando išnaudoti pati aprašymas. "Google" saugumo inžinierius, Neel Mehta pranešė jį OpenSSL teamwhile Adomas Langley Bodo Moeller parengė fix.

Pavadinimas kilęs iš Bug egzistavimo OpenSSL anketa "širdies plakimas" pratęsimo, ir neatstovauja jokios SSL / TLS pati protokolo trūkumas.

Codenomicon sakė išnaudojimas buvo "lengva" ir kad jis sėkmingai puolė savo paslaugas, gauti prieigą prie slaptų raktus X.509 sertifikatai, vartotojo vardus ir slaptažodžius, ir kitų "verslo kritinių" ryšių.

OpenSSL saugumo advisorysaid Heartbleed įtakos 1.0.1 ir 1.0.2-beta spaudai programinės įrangos biblioteką, įskaitant 1.0.1f ir 1.0.2-beta-1.

"Trūkstamą ribų patikrinti atsižvelgiant į TLS širdies ritmas pratęsimo tvarkymo gali būti naudojamas atskleisti iki 64K atminties į prijungtą kliento ar serverio", tai skaityti, konsultuojant vartotojus arba atnaujinti iš karto arba pašalinti širdies plakimą iš jų OpenSSL versiją iki recompiling ji su -DOPENSSL_NO_HEARTBEATS ".

Ši istorija buvo bendrai autorius Grace Caffyn.

Susiję straipsniai


Post Blockchain

Bitcoin Defender kalba Londone Blockchain renginyje

Post Blockchain

Bitcoin kaina atspari, nes Antonopoulos sveria Mt. Gox Debacle

Post Blockchain

Walmart Blockchain Pilot siekia padaryti Kinijos kiaulienos rinką saugesnę

Post Blockchain

Honkongo centrinis bankas: Blockchain turi didžiulį potencialą

Post Blockchain

Bitcoin kaina žemyn, VCs Pasukite į Blockchain Firmas

Post Blockchain

JK finansų reguliatorius įsipareigoja suteikti Blockchain erdvę

Post Blockchain

Blockai paleidžia Netscape už Bitcoin su Blockchain naršykle

Post Blockchain

2017 m. Didysis klausimas: kas moka už Blockchain?

Post Blockchain

Analytics tarnyba siekia būti Bitcoin duomenų auksiniu standartu

Post Blockchain

Laivyba Blockchain: Maersk atskyrimas siekia komercializuoti prekybos platformą

Post Blockchain

Startup Sabr.io padeda sugauti Bitcoin nusikaltėlius

Post Blockchain

Kur yra Blockchain visi greiti laimi?