Αντιμετώπιση του HeartBleed {Part 2}

Στο προηγούμενο άρθρο μας σχετικά με το HeartBleed είπαμε για το τι μπορεί να κάνει ο απλός χρήστης για να προστευτεί.

Σήμερα θα μπούμε σε περισσότερες λεπτομέρειες και ίσως σε πολλούς δεν θα είναι κατανοητά αυτά τα οποία θα διαβάσει.Μπορείτε όμως να χρησιμοποιήσετε την Wikipedia για μάθετε κάποιους όρους και έτσι η ανάρτηση θα γίνει πιο κατανοητή.

Το HeartBleed επηρεάζει τα εξής

• Όλα ξεκινάνε από ένα πρόβλημα στη δομή του κώδικα του OpennSSL που επηρεάζει τους HTTP Servers(Website Servers) με OpenSSL versions 1.0.1-1.0.1f.

• Το bug υπάρχει κατά την εκτέλεση του Transport Layer Security(TLS) και πιο συγκεκριμένα το bug βρίσκεται στο TLS HeartBeat extension που είναι υπεύθυνο για την κρυπτογράφηση στην επικοινωνία μεταξύ του Client και του HttpServer.

Τεχνικές λεπτομέρειες

Λείπουν τα όρια στον χειρισμό του TLS  HeartBeat extension που μπορεί να χρησιμοποιηθεί για να αποκαλύψει μέχρι 64k μνήμης σε ένα συνδεδεμένο client ή server .Το 64Κ μπορεί να μην ακούγεται πολύ μεγάλο αλλά μέσα σε μία επανάληψη μπορεί να εμφανίσει όλα τα δεδομένα.

Τι μπορεί να επηρεάσει το heartbleed 

• Συστήματα Server που χρησιμοποιούν το OpenSSL

              HTTP,Email,FTP κτλ

• Web Clients 

        Desktop,Laptop,Tablets,Smartphones

Τι γνωρίζουμε

• Μπορείτε να μάθετε αν το σύστημα σας είναι ευάλωτο
• Είναι πολύ δύσκολο να καταλάβετε ποιες πληροφορίες έχουν υποκλέψει
• Οι ειδικοί ασφάλειας προετείνουν να αλλαχθούν όλα τα στοιχεία ασφάλειας(username,passwords,πιστοποιητικά ασφαλείας κτλ)

Εκδόσεις OpenSSL

Εκδόσεις που περιέχουν το Bug

• OpenSSL 1.0.1-1.0.1f

Εκδόσεις που πιθανόν δεν έχουν το Bug

• OpenSSL 0.9.8
• OpenSSL 1.0.0
• OpenSSL 1.0.1g και μεταγενέστερες

Είναι το Site μου ασφαλές

• Στη περίπτωση που το web site σας έχει την μορφή  http://mywebsite.com τότε είναι μη κρυπτογραφημένο.
• Στη περίπτωση που το web site σας έχει την μορφή  https://mywebsite.com τότε είναι κρυπτογραφημένο και πρέπει να κάνετε κάποια test.

Testing a Domain

• Έλεγχος του SSL  https://www.ssllabs.com/ssltest/

Testing το λειτουργικό σύστημα

• Μπείτε στο site http://heartbleed.com/ και δείτε ποιές εκδόσεις έχουν το bug

Ποια έκδοση έχω

• Μπείτε στην γραμμή εντολών και πληκτολογήστε την εντολή openssl version ή sudo openssl version -a

Διόρθωση του Bug στον  Server

• Για να διορθώσουμε το bug θα πρέπει να κάνουμε upgrade OpenSSL.Από λειτουργικό σε λειτουργικό η διαδικασία αυτή διαφέρει.Ας πούμε πως έχουμε εγκατεστημένο το Ubuntu

sudo apt-get dist-upgrade

Περισσότερα ...

• Email servers,databases,LDAP κτλ
• Web Service API
• Software που χρησιμοποιούν το OpenSSL
• Routers,Εφαρμογές Βιντεοδιάσκεψης.
• Android 4.1.1 είναι ευάλωτο