באג חדש ב-OpenSSL עלול לחשוף סיסמאות מוצפנות; מהווה סכנה לשני שלישים מהאתרים
הבאג עלול לאפשר חשיפה של תוכן הזיכרון של השרת שבו נשמרים הנתונים הרגישים ביותר, דוגמת שמות משתמש, סיסמאות ומספרים של כרטיסי אשראי
באג חדש שפורסם השבוע וזכה לכינוי Heartbleed התגלה בתוכנה הפופולרית OpenSSL, בעלת הקוד הפתוח, שמשמשת להצפנה של תקשורת באינטרנט. הבאג עלול להשפיע על שני שלישים מהאתרים ברשת.
הבאג עלול לאפשר חשיפה של תוכן הזיכרון של השרת שבו נשמרים הנתונים הרגישים ביותר, דוגמת שמות משתמש, סיסמאות ומספרים של כרטיסי אשראי. התוקף עשוי גם להניח יד על מפתחות ההצפנה של השרת ולהשתמש בהם כדי להתחזות לשרת או לפענח את התקשורת.
יצוין כי הבאג נחשב לחמור במיוחד, שכן לא רק אתרי אינטרנט יהיו חייבים לבצע כעת שינויים משמעותיים, אלא גם כל המשתמשים באתרים יידרשו להחליף סיסמה.
"באג Heartbleed מאפשר לנו לפצח שמות משתמש וסיסמאות של יאהו! (!Yahoo)", כתב רונלד פרינס מחברת האבטחה Fox-IT בהודעה שפרסם בטוויטר (Twitter).
מיאהו! נמסר בתגובה כי החברה כבר ביצעה את מרבית התיקונים הנחוצים. "ברגע שנודע לנו על הבעיה התחלנו מיד לעבוד על תיקונה. הצוות שלנו ביצע כבר את מרבית התיקונים הנחוצים בנכסים העיקריים שלנו ואנחנו פועלים כעת לתקן גם את שאר האתרים", נמסר מהחברה.
למשתמשים מוצע להימנע מכניסה לאתרים שבהם עדיין לא תוקן הבאג. כדי לברר אם הוא כבר תוקן באתר מסוים אפשר לפנות לשירות הלקוחות, מציע ג'ון מילר, חוקר אבטחה ב-TrustWave. לאחר שמבררים ומוצאים כי הבאג תוקן, יש להחליף קודם כל סיסמאות של חשבונות רגישים דוגמת בנקים ודואר אלקטרוני. בימים שלאחר מכן יש לבדוק בקפידה את דפי החשבון.
ליאור פולק, סמנכ"ל טכנולוגיות ב-2BSecure, אמר כי כתוצאה מהבאג דולפים "החומר הראשי של מפתחות ההצפנה, מפתחות הגישה המשניים – הסיסמאות, פרטי גישה המוצפנים על ידי המפתח הראשי, החומר המוגן על ידי ההצפנה וחומר משני, כגון פרטים על מנגנוני ההגנה עצמם והזיכרון בשרת".
לדבריו, "החומר הראשי של מפתחות ההצפנה הוא היעד האולטימטיבי. זה הגורם המאבטח של כל המידע. מפתחות ההצפנה שדולפים מאפשרים לתוקף לפתוח כל תשדורת שהוצפנה בעבר, בהווה ובעתיד עם אותו מפתח, וכן להתחזות לאותם שירותים המשתמשים בו. כל הגנה שהושגה על ידי שימוש בהצפנה למעשה לא קיימת. על מנת להתאושש דרוש לבצע תיקוני אבטחה בכל מקום בו משתמשים בגרסה פגיעה של מערכת ההצפנה, ובמפתחות ההצפנה שנחשפו בעקבותיה. לאחר מכן יש לשלול ולחסום את כל התעודות שנחשפו בשרתי ה-CA ולבצע הנפקה מחדש של התעודות עם מפתחות חדשים. בכל מקרה, אין דרך למנוע פתיחת מידע מוצפן שהוקלט בעבר".
הוא הוסיף כי "כדי להתאושש מדליפת מפתחות הגישה המשניים יש לתקן את מה שציינתי עד כה ואז לדרוש החלפת סיסמאות לכלל המשתמשים שעשו שימוש בשירות. כל מפתחות הגישה צריכים להישלל ויש להתייחס אליהם ככאלה שכבר נחשפו".
תגובות
(0)