Video: Asymmetric encryption - Simply explained (Tháng Chín 2024)
SSL, viết tắt của Lớp cổng bảo mật, là thứ đặt S vào HTTPS. Người dùng thông thái biết tìm HTTPS trên thanh địa chỉ trước khi nhập bất kỳ thông tin nhạy cảm nào trên trang web. Các bài đăng trên SecurityWatch của chúng tôi thường xuyên trừng phạt các ứng dụng Android truyền dữ liệu cá nhân mà không sử dụng SSL. Than ôi, lỗi "Heartbleed" được phát hiện gần đây cho phép kẻ tấn công chặn giao tiếp được bảo vệ SSL.
Lỗi này được gọi là Heartbleed vì nó cõng trên một tính năng gọi là heartbeat, ảnh hưởng đến các phiên bản cụ thể của thư viện mã hóa OpenSSL được sử dụng rộng rãi. Theo trang web được tạo ra để báo cáo trên Heartbleed, thị phần kết hợp của hai máy chủ Web nguồn mở lớn nhất sử dụng OpenSSL là hơn 66%. OpenSSL cũng được sử dụng để bảo mật email, máy chủ trò chuyện, VPN và "nhiều loại phần mềm máy khách". Nó ở khắp mọi nơi.
Thật tệ, thật tệ
Kẻ tấn công lợi dụng lỗi này có được khả năng đọc dữ liệu được lưu trữ trong bộ nhớ của máy chủ bị ảnh hưởng, bao gồm các khóa mã hóa quan trọng. Tên và mật khẩu của người dùng và toàn bộ nội dung được mã hóa cũng có thể được nắm bắt. Theo trang web, "Điều này cho phép kẻ tấn công nghe lén thông tin liên lạc, đánh cắp dữ liệu trực tiếp từ các dịch vụ và người dùng và mạo danh dịch vụ và người dùng."
Trang web tiếp tục lưu ý rằng việc nắm bắt các khóa bí mật "cho phép kẻ tấn công giải mã bất kỳ lưu lượng truy cập trong quá khứ và tương lai tới các dịch vụ được bảo vệ". Giải pháp duy nhất là cập nhật lên phiên bản OpenSSL mới nhất, thu hồi các khóa bị đánh cắp và cấp các khóa mới. Thậm chí sau đó, nếu kẻ tấn công chặn và lưu trữ lưu lượng được mã hóa trong quá khứ, các khóa bị bắt sẽ giải mã nó.
Những gì có thể được thực hiện
Lỗi này được phát hiện độc lập bởi hai nhóm khác nhau, một cặp nhà nghiên cứu từ Codenomicon và nhà nghiên cứu bảo mật của Google. Đề xuất mạnh mẽ của họ là OpenSSL phát hành một phiên bản hoàn toàn vô hiệu hóa tính năng nhịp tim. Với phiên bản mới được tung ra, các cài đặt dễ bị tổn thương có thể được phát hiện vì chỉ có chúng mới phản hồi tín hiệu nhịp tim, cho phép "phản ứng phối hợp quy mô lớn để tiếp cận chủ sở hữu các dịch vụ dễ bị tổn thương".
Cộng đồng bảo mật đang xem xét vấn đề này một cách nghiêm túc. Ví dụ, bạn sẽ tìm thấy ghi chú về nó trên trang web US-CERT (Nhóm sẵn sàng khẩn cấp máy tính Hoa Kỳ). Bạn có thể kiểm tra máy chủ của riêng mình tại đây để xem chúng có dễ bị tấn công không.
Than ôi, không có kết thúc có hậu cho câu chuyện này. Cuộc tấn công không để lại dấu vết, vì vậy ngay cả sau khi một trang web khắc phục sự cố, không có thông tin nào cho biết kẻ gian có khai thác dữ liệu riêng tư hay không. Theo trang web Heartbleed, sẽ rất khó để IPS (Hệ thống ngăn chặn xâm nhập) phân biệt cuộc tấn công với lưu lượng được mã hóa thông thường. Tôi không biết câu chuyện này kết thúc như thế nào; Tôi sẽ báo cáo lại khi có nhiều điều để nói.
