ओपनएसएसएल में बड़े पैमाने पर बग बहुत जोखिम में इंटरनेट डालता है

विज्ञापन

यदि आप उन लोगों में से एक हैं, जो हमेशा यह मानते थे कि खुले स्रोत की क्रिप्टोग्राफी ऑनलाइन संवाद करने का सबसे सुरक्षित तरीका है, तो आप आश्चर्यचकित हैं।

इस सप्ताह, Google की सुरक्षा टीम की सदस्य नील मेहता ने विकास टीम को सूचित किया OpenSSL यह शोषण ओपनएसएसएल के "दिल की धड़कन" सुविधा के साथ मौजूद है। Google ने बग की खोज की जब सुरक्षा फर्म कोडेनोमिकॉन के साथ काम करने और अपने स्वयं के सर्वर को हैक करने की कोशिश की। Google की अधिसूचना के बाद, 7 अप्रैल को, ओपनएसएसएल टीम ने अपना स्वयं का विमोचन किया सुरक्षा सलाह बग के लिए एक आपातकालीन पैच के साथ।

बग को "हार्दिक" उपनाम पहले ही दिया जा चुका है सुरक्षा विश्लेषकों द्वारा पासवर्ड, गोपनीयता और ट्रस्ट के सुरक्षा विशेषज्ञ ब्रूस श्नेयरसुरक्षा विशेषज्ञ ब्रूस श्नियर के साथ हमारे साक्षात्कार में सुरक्षा और गोपनीयता के बारे में अधिक जानें। अधिक पढ़ें , क्योंकि यह ओपनएसएसएल के "दिल की धड़कन" सुविधा का उपयोग करता है, जो ओपनएसएसएल को चलाने वाली प्रणाली को संवेदनशील जानकारी को प्रकट करने के लिए चालित करता है, जिसे सिस्टम मेमोरी में संग्रहीत किया जा सकता है। जबकि स्मृति में संग्रहीत अधिकांश जानकारी में हैकर्स के लिए बहुत अधिक मूल्य नहीं हो सकता है, मणि बहुत ही कुंजी को कैप्चर करेगा जो सिस्टम का उपयोग करता है

संचार एन्क्रिप्ट करें क्लाउड में आपकी फ़ाइलों को सुरक्षित रूप से एन्क्रिप्ट करने के 5 तरीकेआपकी फ़ाइलों को पारगमन में और क्लाउड प्रदाता के सर्वर पर एन्क्रिप्ट किया जा सकता है, लेकिन क्लाउड स्टोरेज कंपनी उन्हें डिक्रिप्ट कर सकती है - और जो भी आपके खाते में पहुंचता है वह फ़ाइलों को देख सकता है। ग्राहक की ओर... अधिक पढ़ें .

एक बार कुंजी प्राप्त करने के बाद, हैकर्स फिर संचार को डिक्रिप्ट कर सकते हैं और पासवर्ड, क्रेडिट कार्ड नंबर और अधिक जैसी संवेदनशील जानकारी कैप्चर कर सकते हैं। उन संवेदनशील कुंजियों को प्राप्त करने के लिए केवल आवश्यकता है सर्वर से एन्क्रिप्ट किए गए डेटा का उपभोग करने के लिए कुंजी को कैप्चर करने के लिए। हमला अवांछनीय और अप्राप्य है।

ओपनएसएसएल हार्टबीट बग

इस सुरक्षा दोष से नुकसान बहुत बड़ा है। ओपनएसएसएल पहली बार 2011 के दिसंबर में स्थापित किया गया था, और यह जल्दी से इस्तेमाल की जाने वाली एक क्रिप्टोग्राफिक लाइब्रेरी बन गया कंपनियों और संगठनों द्वारा इंटरनेट के चारों ओर संवेदनशील जानकारी को एन्क्रिप्ट करने के लिए और संचार। यह अपाचे वेब सर्वर द्वारा उपयोग किया जाने वाला एन्क्रिप्शन है, जो इंटरनेट पर मौजूद सभी वेबसाइटों का लगभग आधा हिस्सा है।

ओपनएसएसएल टीम के अनुसार, सुरक्षा छेद एक सॉफ्टवेयर दोष से आता है।

“टीएलएस दिल की धड़कन के विस्तार से निपटने में एक लापता सीमा की जाँच एक कनेक्टेड क्लाइंट या सर्वर के लिए 64k तक की मेमोरी को प्रकट करने के लिए किया जा सकता है। केवल OpenSSL के 1.0.1 और 1.0.2-बीटा रिलीज़ 1.0.1f और 1.0.2-beta1 सहित प्रभावित होते हैं। ”

सर्वर लॉग पर कोई निशान छोड़े बिना, हैकर्स इस कमजोरी का फायदा उठा सकते हैं और इनमें से कुछ से एन्क्रिप्टेड डेटा प्राप्त कर सकते हैं इंटरनेट पर सबसे संवेदनशील सर्वर, जैसे बैंक वेब सर्वर, क्रेडिट कार्ड कंपनी सर्वर, बिल भुगतान वेबसाइट और अधिक।

गुप्त कुंजियों को प्राप्त करने वाले हैकर्स की संभावना हालांकि, सवाल पर बनी हुई है, क्योंकि Google सुरक्षा विशेषज्ञ एडम लैंगले को पोस्ट किया गया था उनका ट्विटर स्ट्रीम अपने स्वयं के परीक्षण गुप्त एन्क्रिप्शन कुंजी के रूप में संवेदनशील के रूप में कुछ भी बदल नहीं था।

7 अप्रैल को इसकी सुरक्षा सलाहकार, ओपनएसएसएल टीम ने तत्काल उन्नयन, और सर्वर व्यवस्थापकों के लिए एक वैकल्पिक निर्धारण की सिफारिश की जो उन्नयन नहीं कर सकते।

“प्रभावित उपयोगकर्ताओं को OpenSSL 1.0.1g में अपग्रेड करना चाहिए। वैकल्पिक रूप से अपग्रेड करने में असमर्थ उपयोगकर्ता वैकल्पिक रूप से OpenSSL को -DOPENSSL_NO_HEARTBEATS के साथ फिर से जोड़ सकते हैं। 1.0.2 को बीटा -2 में तय किया जाएगा। ”

पिछले दो वर्षों में पूरे इंटरनेट में ओपनएसएसएल के प्रसार के कारण, Google द्वारा आसन्न हमलों की घोषणा की संभावना काफी अधिक है। हालाँकि, उन हमलों के प्रभाव को कम से कम सर्वर प्रशासकों और सुरक्षा प्रबंधकों द्वारा जल्द से जल्द अपनी कंपनी के सिस्टम को अपग्रेड करके OpenSSL 1.0.1g में अपग्रेड किया जा सकता है।

स्रोत: OpenSSL