Vídeo: Solucion Definitiva Error Driver Easy 2020 (SSL/TLS) (De novembre 2024)
SSL, short for Secure Sockets Layer, és el que posa la S a HTTPS. Els usuaris experimentats saben buscar HTTPS a la barra d’adreces abans d’introduir qualsevol informació sensible en un lloc web. Les nostres publicacions de SecurityWatch castiquen freqüentment les aplicacions d'Android que transmeten dades personals sense utilitzar SSL. Per desgràcia, el recentment descobert error "Heartbleed" permet als atacants interceptar la comunicació protegida per SSL.
L'error s'anomena Heartbleed, ja que té una característica anomenada batec del cor, que afecta versions específiques de la biblioteca criptogràfica OpenSSL àmpliament utilitzada. Segons el lloc web que es va crear per informar sobre Heartbleed, la quota de mercat combinada dels dos servidors web de codi obert més grans que utilitzen OpenSSL és superior al 66 per cent. OpenSSL també s'utilitza per protegir correu electrònic, servidors de xat, VPN i "una àmplia varietat de programari client". És per tot el lloc.
És dolent, realment dolent
Un atacant que aprofita aquest error obté la capacitat de llegir les dades emmagatzemades a la memòria del servidor afectat, incloses les claus de xifratge importants. També es poden capturar els noms i les contrasenyes dels usuaris i la totalitat del contingut xifrat. Segons el lloc, "Això permet als atacants escorcollar les comunicacions, robar dades directament dels serveis i usuaris i suplantar serveis i usuaris".
El lloc continua notant que la captura de claus secretes "permet a l'atacant desxifrar qualsevol trànsit passat i futur als serveis protegits". L’única solució és actualitzar a l’última versió d’OpenSSL, revocar les claus robades i emetre noves claus. Tot i així, si l’atacant interceptava i emmagatzemava trànsit xifrat en el passat, les claus capturades el desxifraran.
Què es pot fer?
Aquest error va ser descobert de forma independent per dos grups diferents, un parell d’investigadors de Codenomicon i un investigador de seguretat de Google. El seu fort suggeriment és que OpenSSL alliberi una versió que inhabiliti completament la funció de batec cardíac. Amb la nova edició publicada, es podrien detectar instal·lacions vulnerables perquè només respondrien al senyal de batecs cardíacs, permetent que "una resposta coordinada a gran escala arribés als propietaris de serveis vulnerables".
La comunitat de seguretat s'està prenent seriosament aquest problema. Per exemple, trobareu notes al lloc web del US-CERT (equip de preparació per a emergències informàtiques dels Estats Units), per exemple. Podeu provar els vostres propis servidors aquí per veure si són vulnerables.
Per desgràcia, no hi ha un final feliç per a aquesta història. L'atac no deixa rastres, així que fins i tot després que un lloc web solucioni el problema, no se sap si els escorcolls han tocat dades privades. Segons el lloc web Heartbleed, seria difícil que un IPS (Sistema de prevenció d’intrusions) distingís l’atac del trànsit regular xifrat. No sé com acaba aquesta història; Informaré quan hi hagi més coses a explicar.