OpenSSL Güvenliği

0
18

McAfee Tüketici Bölümü için global pazarlama başkan yardımcısı olan Gary Davis’e göre, Heartbleed’in bir virüs olmadığını, ancak Open SSL şifreleme koduna programlanmış bir hata olduğunu anlamak önemlidir – sizinle sunucular arasındaki iletişimleri şifreleyen bir güvenlik standardı Çoğu çevrimiçi hizmetler.

Hata son zamanlarda açıklanmış olsa da, saldırganların sertifikaları veya diğer gizli bilgileri çalmak için çeşitli fırsatlar sunan 14 Mart 2012’den bu yana OpenSSL sürümlerinde yer alıyor.

Sorun ciddi
OpenSSL şifreleme kütüphanesi, kullanıcı adlarını, şifreleri, kredi kartı, bankamatik kartı ve diğer gizli kullanıcı bilgilerini korur. SSL kodundaki bir arıza, bir saldırganın potansiyel olarak gizli bilgileri veya iletişimi içerebilen sistem belleğine erişmesine izin verebilirdi.

SSL / TLS yaygın olarak web siteleri, e-posta, anında mesajlaşma vasıtasıyla iletişimin güvenliğini sağlamak için kullanılır. “Https” önekiyle veya bir tarayıcı adres çubuğundaki bir kilitle tanınabilir.

Bu nedenle kusur, saldırganların kullanıcı adlarını, şifreleri ve diğer gizli bilgileri içeren büyük veritabanlarından bilgi almalarına olanak tanır.

Güvenlik şirketi Vasco’ya göre ve bir bilgisayar korsanının belirli koşullar altında bir belleğin belleğini almasına izin vermek için hata sunucusu, geçmişte bir SSL / TLS sunucusu savunmasız olan yerinden değiştirilen hassas verileri elde etmeye de olanak tanıyor. Güvenlik açığından etkilenmiş bir İnternette SSL / TLS özel anahtarının kullanılmasıyla, suçlu orijinal olarak grafiksel olarak sahte sunuculara hayat verebilir.

Tehdit, tüketicilerin değil, sunucuların avantajlarından yararlandığından, çevrimiçi servis şirketleri, bu güvenlik açığını gidermek ve düzeltmek için OpenSSL’in en yeni sürümüne 1.0.1g’ye yükseltmelidir.

Bu arada, Trustwave, web sunucularının bir saldırının olası tek hedefleri olmadığı konusunda uyarıda bulunuyor; OpenSSL’nin güvenliği aşılmış bir sürümünü kullanan ve internete maruz kalan herhangi bir program savunmasızdır. Bu, çalışanların şirket ağ güvenliğine, SSL’ye ve işletmeler tarafından günlük olarak kullanılan diğer birçok araçlara bağlanmalarına izin veren bir şirketin SSL sanal özel ağını içerir.

Ayrıca Trustwave’e göre, OpenSLL, bir kredi kartı ve kişisel kimlik gibi bilgilerin güvenli bir şekilde aktarılmasına izin veren e-ticaretin modernizasyonunun temel taşlarından biri olarak da düşünülür. SSL özellikli servislerle Web sitelerinin% 60’ında OpenSSL kullanıldığı tahmin edilmektedir. Bu hizmetlerin tümü savunmasız olmasa da, bu başarısızlığın etkileri yaygındır.

Mobil uygulamalar da etkileniyor
Cep Telefonları ve akıllı telefonlar, Heartbleed siteleri gibi böceklere karşı savunmasızdır. Bunun nedeni, uygulamalar bankalara ve çevrimiçi mağazalara cep telefonu üzerinden ödeme yapmanıza izin veren uygulamalar gibi çeşitli görevleri tamamlamak için sunuculara ve Web hizmetlerine bağlanmasıdır.

Trend Micro popüler mobil cihazlarda kullanılan bazı popüler web servislerini araştırdı ve sonuçlar bu güvenlik açığı hala mevcut olduğunu gösteriyor. Google Play’den 390 bin uygulama ve savunmasız sunuculara bağlı yaklaşık 1.300 uygulama bulundu. Bunlar arasında bankalarla ilgili 15 başvuru, 39 ila 10 çevrimiçi ödeme ve çevrimiçi satın alımlar var. Anında mesajlaşma ve sağlık gibi günlük uygulamalardaki sorunlar da tespit edildi.

Sörfçü ne yapabilir?
Bu tehdidin şiddeti düşünülemez. Büyük şirketler, geleneksel olarak, verilerin iletilmesinin en güvenli yöntemlerinden biri olarak bilinen OpenSSL’yi kullanmaktadır. Güvenlik firmaları, kendinizi korumanın en iyi yolunun (yukarıda listelenen araçlar aracılığıyla) etkilenen siteleri belirlemek ve bu hesapların şifrelerini değiştirmek olduğunu tekrarladı.

Yani, kullanıcılar bankaların e-posta adresleri veya İSS e-postalarınız gibi hassas bilgileri barınak sitelerine kontrol etmelidirler. _ Etkilenmişlerse ve eğer öyleyse bu düzeltilen güvenlik açığı nasıl olacaklarını sorun.

Sağlayıcı, hizmetin standart olduğunu onaylarsa, kullanıcılar da şifrelerini değiştirmelidir. Kendi SSL etkilenen hizmetlerini barındıran şirketler, mevcut lisanslarını ciddi şekilde iptal etmeyi düşünmelidir; bu durum tehlikeye girer kullanıcıların istismarına ve itibarına zarar verebilir. Sertifikalarını tekrar göndermek için Yetkili Sertifikalarla (CA) birlikte çalışacak SSL sertifikasının sahipleri.

Bu hafta, McAfee tüketicilerin Heartbleed’in etkilerine duyarlılıklarını kolayca değerlendirmelerine yardımcı olmak için ücretsiz bir araç yayınladı. Test aracı McAfee’ye web sitelerinin alan adlarını girdiğinizde tüketiciler, sitelerin bu güvenlik açığından etkilenmeyen OpenSSL sürümüne güncellendiğini doğrulayarak bu tehdide karşı hala savunmasız olup olmadığını hemen belirleyebilir.

Ayrıca, e-posta hesaplarında, sosyal paylaşım ağında, internet bankacılığında ve ağdaki diğer servislerde olağandışı veya şüpheli etkinliklerin görülmesi de önerilir. Sıradan bir şey fark ederseniz, göreceli hizmetinize başvurun;

Comments are closed.