Αντιμετώπιση του HeartBleed {Part 2}
Στο προηγούμενο άρθρο μας σχετικά με το HeartBleed είπαμε για το τι μπορεί να κάνει ο απλός χρήστης για να προστευτεί.
Σήμερα θα μπούμε σε περισσότερες λεπτομέρειες και ίσως σε πολλούς δεν θα είναι κατανοητά αυτά τα οποία θα διαβάσει.Μπορείτε όμως να χρησιμοποιήσετε την Wikipedia για μάθετε κάποιους όρους και έτσι η ανάρτηση θα γίνει πιο κατανοητή.
Το HeartBleed επηρεάζει τα εξής
- Όλα ξεκινάνε από ένα πρόβλημα στη δομή του κώδικα του OpennSSL που επηρεάζει τους HTTP Servers(Website Servers) με OpenSSL versions 1.0.1-1.0.1f.
- Το bug υπάρχει κατά την εκτέλεση του Transport Layer Security(TLS) και πιο συγκεκριμένα το bug βρίσκεται στο TLS HeartBeat extension που είναι υπεύθυνο για την κρυπτογράφηση στην επικοινωνία μεταξύ του Client και του HttpServer.
Τεχνικές λεπτομέρειες
Λείπουν τα όρια στον χειρισμό του TLS HeartBeat extension που μπορεί να χρησιμοποιηθεί για να αποκαλύψει μέχρι 64k μνήμης σε ένα συνδεδεμένο client ή server .Το 64Κ μπορεί να μην ακούγεται πολύ μεγάλο αλλά μέσα σε μία επανάληψη μπορεί να εμφανίσει όλα τα δεδομένα.
Τι μπορεί να επηρεάσει το heartbleed
- Συστήματα Server που χρησιμοποιούν το OpenSSL
HTTP,Email,FTP κτλ
- Web Clients
Τι γνωρίζουμε
- Μπορείτε να μάθετε αν το σύστημα σας είναι ευάλωτο
- Είναι πολύ δύσκολο να καταλάβετε ποιες πληροφορίες έχουν υποκλέψει
- Οι ειδικοί ασφάλειας προετείνουν να αλλαχθούν όλα τα στοιχεία ασφάλειας(username,passwords,πιστοποιητικά ασφαλείας κτλ)
Εκδόσεις OpenSSL
Εκδόσεις που περιέχουν το Bug
- OpenSSL 1.0.1-1.0.1f
Εκδόσεις που πιθανόν δεν έχουν το Bug
- OpenSSL 0.9.8
- OpenSSL 1.0.0
- OpenSSL 1.0.1g και μεταγενέστερες
Είναι το Site μου ασφαλές
- Στη περίπτωση που το web site σας έχει την μορφή http://mywebsite.com τότε είναι μη κρυπτογραφημένο.
- Στη περίπτωση που το web site σας έχει την μορφή https://mywebsite.com τότε είναι κρυπτογραφημένο και πρέπει να κάνετε κάποια test.
Testing a Domain
- Έλεγχος του SSL https://www.ssllabs.com/ssltest/
Testing το λειτουργικό σύστημα
- Μπείτε στο site http://heartbleed.com/ και δείτε ποιές εκδόσεις έχουν το bug
Ποια έκδοση έχω
- Μπείτε στην γραμμή εντολών και πληκτολογήστε την εντολή openssl version ή sudo openssl version -a
Διόρθωση του Bug στον Server
- Για να διορθώσουμε το bug θα πρέπει να κάνουμε upgrade OpenSSL.Από λειτουργικό σε λειτουργικό η διαδικασία αυτή διαφέρει.Ας πούμε πως έχουμε εγκατεστημένο το Ubuntu
sudo apt-get dist-upgrade
Περισσότερα ...
- Email servers,databases,LDAP κτλ
- Web Service API
- Software που χρησιμοποιούν το OpenSSL
- Routers,Εφαρμογές Βιντεοδιάσκεψης.
- Android 4.1.1 είναι ευάλωτο
Comments
Post a Comment