Video: Steps by Steps How to convert ssl certificate crt and key file into pfx file format (Lokakuu 2024)
SSL, lyhenne sanoista Secure Sockets Layer, on se, joka asettaa S: n HTTPS: ään. Taitavat käyttäjät tietävät etsimästä HTTPS-osoitetta osoiteriviltä ennen arkaluontoisten tietojen syöttämistä verkkosivustolle. SecurityWatch-viestimme hurjaavat usein Android-sovelluksia, jotka lähettävät henkilökohtaisia tietoja käyttämättä SSL: tä. Valitettavasti äskettäin löydetty "Heartbleed" -vika antaa hyökkääjille mahdollisuuden siepata SSL-suojattu viestintä.
Vika on nimeltään Heartbleed, koska se johtuu sydämen lyönnistä, ja se vaikuttaa laajalti käytetyn OpenSSL-salauskirjaston tiettyihin versioihin. Heartbleed-raporttia varten luodun verkkosivuston mukaan kahden suurimman OpenSSL-järjestelmää käyttävän avoimen lähdekoodin palvelimen yhteenlaskettu markkinaosuus on yli 66 prosenttia. OpenSSL: ää käytetään myös sähköpostien, chat-palvelimien, VPN: ien ja "monenlaisten asiakasohjelmistojen" suojaamiseen. Se on kaikkialla.
Se on huono, todella huono
Hyökkääjä, joka hyödyntää tätä virhettä, saa kyvyn lukea kyseisen palvelimen muistiin tallennetut tiedot, mukaan lukien kaikki tärkeät salausavaimet. Myös käyttäjien nimet ja salasanat sekä salatun sisällön kokonaisuus voidaan siepata. Sivuston mukaan "Tämän ansiosta hyökkääjät voivat kuunnella viestintää, varastaa tietoja suoraan palveluilta ja käyttäjiltä sekä jäljitellä palveluita ja käyttäjiä."
Sivusto toteaa edelleen, että salaisten avainten kaappaaminen "antaa hyökkääjälle mahdollisuuden purkaa suojattujen palvelujen aikaisempi ja tuleva liikenne". Ainoa ratkaisu on päivittää OpenSSL: n uusimpaan versioon, peruuttaa varastetut avaimet ja antaa uusia avaimia. Jopa silloin, kun hyökkääjä sieppasi ja tallensi salattua liikennettä aiemmin, vangitut avaimet purkaa sen.
Mitä voidaan tehdä
Tämän virheen löysivät itsenäisesti kaksi eri ryhmää, pari tutkijaa Codenomiconista ja Google-tietoturvatutkija. Heidän vahva ehdotuksensa on, että OpenSSL julkaisee version, joka poistaa sykeominaisuuden kokonaan käytöstä. Uuden version julkaisun myötä haavoittuvat asennukset voitiin havaita, koska vain ne reagoivat sydämen sykesignaaliin, mahdollistaen "laajamittaisen koordinoidun reaktion haavoittuvien palvelujen omistajille".
Turvallisuusyhteisö suhtautuu tähän ongelmaan vakavasti. Löydät siitä muistiinpanoja esimerkiksi US-CERT (Yhdysvallat Computer Emergency Readiness Team) -sivustolta. Voit testata omia palvelimiasi täällä nähdäksesi, ovatko ne haavoittuvia.
Valitettavasti tällä tarinalla ei ole onnellista loppua. Hyökkäys ei jätä jälkiä, joten edes verkkosivuston korjaamisen jälkeen ei ole mitään kertovaa, ovatko huijarit käyttäneet yksityisiä tietoja. Heartbleed-verkkosivuston mukaan IPS: n (tunkeutumisen estävän järjestelmän) olisi vaikea erottaa hyökkäys säännöllisestä salatusta liikenteestä. En tiedä miten tämä tarina päättyy; Ilmoitan, kun on enemmän kerrottavaa.
