Heartbleed
Heartbleed
Autor: Maarja-Liisa Tammepõld
Rühm: A22
Sissejuhatus
See on tõsine krüptograafilise tarkvara teegi OpenSSL-i nõrkus. See võimaldab SSL-i/TSL-i enkrüpteerimisega kaitstud informatsiooni varastada. SSL/TLS pakuvad erinevate rakenduste turvalist kasutamist üle Interneti nt. emaili teenuste ja mõne VPN-i kasutamisel, võimaldab turvaliselt minna panka, ilma et keegi salajast infot näha saaks. Nüüd on avastatud, aga OpenSSL-i turvaauk nimega Heartbleed, mis võimaldab ligipääseda serveri mälule ja mis hõlmab kogu salajast informatsiooni: kasutajate nimesid, salasõnu ja tegelikku sisu. Seeläbi on ründajatel võimalik pealtkuulata vestlusi, andmeid varastada ja võimaldab kehastada teist kasutajat või teenust. [1]
Kuidas töötab Heartbleed?
Internetitoimingutes kontrollivad serveritega ühenduses olevad arvutid teatud ajavahemike järel, kas nad on endiselt samal liinil ühenduses saates üksteisele signaale. Selle sama signaali kaudu ongi võimalik ligi pääseda serveri mälule. [2]
Mida saab selle vastu ette võtta?
Servereid hallatavatel administraatoritel soovitatakse genereerida serverile uus privaatvõti, hankida kaasnev uus sertifikaat ja paluma kõikidel kasutajatel oma paroolid ära vahetada.
Kuna Heartbleed mõjutab Internetis umbes 18% hulga ulatuses servereid, siis selle turvamiseks on tehtud ka juba avalik tööriist, mis võimaldab näha, kas mõni server on turvaline või mitte: https://filippo.io/Heartbleed/ . [2]
Nüüdseks on loodud OpenSSL-st uuem ja täiustatum versioon, millel puudub see sama haavatav koht, kuid nii kaua, kui kasutatakse nõrkusega olevat OpenSSL-i, senikaua püsib ka oht ründe ohvriks sattuda. [1]
Mis OpenSSL-i versioonid on haavatavad?
- OpenSSL 1.0.1 läbi 1.0.1f on haavatav
- OpenSSL 1.0.1g on turvaline
- OpenSSL 1.0.0 laiendus on turvaline
- OpenSSL 0.9.8 laiendus on turvaline
Alates 2012. aasta 14. märtsist OpenSSL versiooniga 1.0.1 levis nõrkus ja 7. aprillil 2014 sai avalikuks versioon 1.0.1g, mis muutus jällegi turvaliseks.
[1]