Video: SQL Server SSL (Nobyembre 2024)
Ang SSL, maikli para sa Secure Sockets Layer, ay kung ano ang naglalagay ng S sa HTTPS. Alam ng mga gumagamit ng savvy na maghanap para sa HTTPS sa address bar bago ipasok ang anumang sensitibong impormasyon sa isang website. Ang aming mga post ng SecurityWatch ay madalas na dinidisiplina ang mga Android app na nagpapadala ng personal na data nang hindi gumagamit ng SSL. Sa kasamaang palad, ang kamakailang natuklasang bug na "Puso" ay nagpapahintulot sa mga umaatake na makagambala sa komunikasyon na protektado ng SSL.
Ang bug ay tinatawag na Heartbleed dahil piggybacks ito sa isang tampok na tinatawag na tibok ng puso, nakakaapekto sa mga tiyak na bersyon ng malawak na ginagamit na OpenSSL na kriptograpikong aklatan. Ayon sa website na nilikha upang mag-ulat sa Heartbleed, ang pinagsamang bahagi ng merkado ng dalawang pinakamalaking open source Web server gamit ang OpenSSL ay higit sa 66 porsyento. Ginagamit din ang OpenSSL upang ma-secure ang email, chat server, VPN, at "isang malawak na iba't ibang software ng kliyente." Nasa buong lugar na ito.
Masama, Talagang Masama
Ang isang magsasalakay na sinasamantala ang bug na ito ay nakakakuha ng kakayahang basahin ang data na naka-imbak sa memorya ng apektadong server, kabilang ang lahat-ng-mahalagang key ng pag-encrypt. Ang mga pangalan at password ng mga gumagamit at ang kabuuan ng naka-encrypt na nilalaman ay maaari ring makuha. Ayon sa site, "Pinapayagan nito ang mga umaatake na mag-agaw sa mga komunikasyon, magnakaw ng data nang direkta mula sa mga serbisyo at mga gumagamit at upang ipangalan ang mga serbisyo at gumagamit."
Patuloy na tandaan ng site na ang pagkuha ng mga lihim na susi "ay nagbibigay-daan sa attacker na i-decrypt ang anumang nakaraan at hinaharap na trapiko sa mga protektadong serbisyo." Ang tanging solusyon ay ang i-update sa pinakabagong bersyon ng OpenSSL, puksain ang mga ninakaw na mga susi, at mag-isyu ng mga bagong key. Kahit na pagkatapos, kung ang pag-atake ay naharang at nakaimbak ng naka-encrypt na trapiko sa nakaraan, ang mga nakunan na mga susi ay i-decrypt ito.
Ano ang Maaaring Magawa
Ang bug na ito ay natuklasan nang nakapag-iisa ng dalawang magkakaibang grupo, isang pares ng mga mananaliksik mula sa Codenomicon at isang researcher ng seguridad ng Google. Ang kanilang malakas na mungkahi ay ang OpenSSL ay naglabas ng isang bersyon na ganap na hindi pinapagana ang tampok na tibok ng puso. Gamit ang bagong edisyon na gumulong, ang mga mahina na pag-install ay maaaring makita dahil tanging tutugon lamang sila sa signal ng tibok ng puso, na pinahihintulutan ang "malaking scale coordinated na tugon upang maabot ang mga may-ari ng mga serbisyo na mahina."
Ang komunidad ng seguridad ay sineseryoso ang problemang ito. Makakakita ka ng mga tala tungkol dito sa website ng US-CERT (United Kingdom Computer Emergency Kahanda), halimbawa. Maaari mong subukan ang iyong sariling mga server dito upang makita kung mahina ang mga ito.
Sayang, walang maligayang pagtatapos sa kuwentong ito. Ang pag-atake ay walang mga bakas, kaya kahit na matapos ang pag-aayos ng isang website ng problema, walang nagsasabi kung ang mga crook ay naka-tap sa pribadong data. Ayon sa website ng Heartbleed, mahirap para sa isang IPS (Intrusion Prevention System) na makilala ang pag-atake mula sa regular na naka-encrypt na trapiko. Hindi ko alam kung paano natatapos ang kuwentong ito; Mag-uulat ulit ako kapag may masasabi pa.
