Glavni sigurnosni nedostatak srčanog koda postavlja kritične usluge na rizik | HR.democraziakmzero.org

Glavni sigurnosni nedostatak srčanog koda postavlja kritične usluge na rizik

Glavni sigurnosni nedostatak srčanog koda postavlja kritične usluge na rizik

Više od polovine internet mogao biti ugrožena od strane dva-godišnji sigurnosni propust koji bi mogao utjecati na niz online Bitcoin usluga, otkriveno je i danas.

Ranjivost, pod nazivom „Heartbleed”, utječe na verzije OpenSSL, implementacija otvorenog koda SSL i TLS Internet sigurnosnih protokola koji šifriranje i siguran internet promet, uključujući: lozinke, poruke, e-trgovina i bankarstvo i druge osjetljive podatke, uključujući virtualne privatne mreže (VPN). OpenSSL je najpopularniji softver knjižnica koristi za tu svrhu.

Dvije godine

Heartbleed mana navodno je poznato da znanstvenici od 2011., pa čak i „black hat” hakeri od 2012., što znači kritičnih podataka na velikom dijelu interneta je otvoreno na raspolaganju za godina. Nije bilo potvrđenih izvješća o podvizima, iako napadi ne ostavljaju trag.

Sigurnost administratori diljem svijeta sada se ubrzano primjenom popraviti, a mijenja certifikate i tajne ključeve na off-prilika su mogli biti ugrožena.

Budući da slabi bilo koje stranice pomoću „sigurne” https protokol, prijetnja nije specifično za Bitcoin usluge kao što su novčanici i razmjene. No, s obzirom vlasti tendencija da se ignorira Bitcoin krađa ili nesposobnost da ih istraži učinkovito, moglo bi ostaviti Bitcoin usluge ranjiviji nego tradicionalne online financijska ili druga kritična one.

Testirajte stranice vaših usluga

Talijanski stručnjak za sigurnost Filippo Valsordabuilt web-based testthat omogućuje svima da unesete poslužitelja računala da vidi da li je pod utjecajem ili ne. On je također objavio open-source koda za test na GitHub.

U vrijeme pisanja, ulaze glavni Bitcoin usluge adrese na Valsorda svoje stranice pokazalo je da Blockchain, Coinbase i BitPay bili sigurni, ali to svjetski dan 'većina popularan razmjena, Bitstamp, ostao ranjiv.

Valsorda je također bio zabrinut online Bitcoin usluge od bilo čega svojstvenog u drugim implementacijama, rekavši da je „jednostavno iskoristiti, a ne da se brzo krpa”.

„To je od temeljne važnosti za reći svima da provjerite sve svoje servere i ažurirati ASAP [.] Ja ne mogu očito biti pozitivno o tome, ali Bitcoin-specifičnog softvera (lokalno novčanike, itd) ne bi trebalo utjecati čak i ako koriste OpenSSL, jer bug je triggerable samo u živim TLS veze.”

„Međutim gotovo sve izložena javnosti u Bitcoin ekosustavu (s pravom) osigurani TLS (mislim sve web novčanike, razmjene, ali i API-ja i mail servere) i potencijalno (vjerojatno) pogođeni.”

To bi patch softvera, rotirati siguran stvar

Procjenjuje se više od 50% internet servera koristi neki oblik OpenSSL (a vjerojatno i puno više). Pomisao da je više od polovine osjetljivih podataka na Internet-a mogla biti izložena za dvije godine napustio sigurnosne odjela znojenje.

Iskorištavanje Heartbleed, napadač može pristupiti RAM pogođenih sustava, dopuštajući im da vide do 64 kilobajta podataka u isto vrijeme - dovoljno izgraditi dovoljno znanja za pristup tajnim tipke na sustavu. Ti ključevi se koriste za šifriranje i dešifriranje osjetljive promet i identificirati usluga.

Nakon što su tajni ključevi stekao, napadači mogli pročitati promet do i od poslužitelja otvoreno ili utjeloviti usluga i korisnicima.

Napadi na ranjivom sustavu ne zahtijevaju man-in-the-middle tehnike i ne ostavljaju traga, ostavljajući sysadmins bez siguran način da znate, ako su njihovi sustavi su ugrožena.

Opseg potencijalne štete ostavio neke odmotavanje:

Heartbleed je rijedak kukac: neuspjeh u kripto knjižnici koja curi podatke izvan onoga što je štiti. Dakle, gore nego bez kripto na sve.
- mat Požar (@mattblaze) 8. Travanj 2014

Mike Hearn, programer i predsjednik Odbora za prava i politike u Bitcoin Zaklade, rekao je kako se nada da je utjecaj na Bitcoin usluge će biti ograničen, ali je istaknuo da Bitcoin usluge nisu uvijek zaposliti najbolje prakse za sigurnost:

„Nadam se da će utjecaj biti ograničen. Veći web stranice će morati rotirati svoje SSL ključeve nakon nadogradnje [.] Većina web stranice bi trebao imati privatne ključeve za svoje novčanike u različitom poslužitelju proces u kojem se podaci ne mogu se izdvojiti na ovaj način. No to me neće iznenaditi ako nekoliko mjesta ne rade na taj način iz bilo kojeg razloga i može patiti krađa „.

Tvrtke reagirati

Nakon vijesti, mnogi Bitcoin i altcoin razmjene uzeo na twitter izdavati službene odgovore i ažuriranje korisnika o njihovom napredovanju rješavanju manu.

#Bitstampturns off svojim accregistration, prijava i sve virtualne valute povlačenje funkcionira kao mjera opreza nakon nedavnog OpenSSL vijesti.

- Bitstamp (@Bitstamp) 8. Travanj 2014

U intervjuu CoinDesk, Bitstamp predsjednik Nejc Kodrič otkrila je da iako je tvrtka skrpan svoje poslužitelje uspješno, njegov pružatelj ublažavanje DDoS, Incapsula, moraju učiniti isto kako bi se osigurala puna sigurnost.

Dakle, razmjena je odlučio ostati „na sigurnoj strani” i privremeno deaktivirati registracija računa, račun prijava i sve povlačenje funkcije virtualna valuta.

Ostali razmjene jer su izdali slične izjave putem platforme, uključujući Bitfinex - nedavni dodatak CoinDesk je BPI.

Heartbleed bug fiksne na Bitfinex, povlačenja su onemogućeni za sada dok smo bili sigurni svatko je sigurno

- Bitfinex.com (@bitfinex) 8. Travanj 2014

U međuvremenu, platforme kao što localbitcoins.com i Bitcurexhave izvijestio veći uspjeh:

Mi smo ponovno gore, heartbleed bug fiksne. Http://t.co/OwP9Ft1dE7

- LocalBitcoins.com (@LocalBitcoins) 8. Travanj 2014

Blockchain.info također objavio izjavu putem svoje web stranice navodeći da je nadograđen usluge prije tjedan dana. Tvrtka je također naglasio da je novčanik lozinke nikada ne šalju svoj poslužitelj.

Ona je dodala: „Mi ćemo se i dalje istraživati ​​po potrebi i pružiti vam potrebnim promjenama.”

Informiranje izdanje

Vijest o Heartbleed postojanja je objavio finski IT sigurnost konzultantske Codenomicon, koji je objavljen opis nakon pokušaja iskorištavati za sebe. Google Sigurnost inženjer, Neel Mehta, to prijavljeno OpenSSL teamwhile Adam Langley i Bodo Moeller pripremili popraviti.

Ime mu dolazi od buga postojanja u OpenSSL-a „otkucaje srca” nastavak, i ne predstavlja nikakvu manu u SSL / TLS samog protokola.

Codenomicon rekao eksploatacija je „lako” te da je uspješno napao svoje usluge, dobiva pristup tajnim ključevima za X.509 certifikata, korisnička imena i lozinke, i ostale „kritične poslovne” komunikacije.

OpenSSL sigurnosna advisorysaid Heartbleed utjecati 1.0.1 i 1.0.2-beta izdanja softvera knjižnice, uključujući 1.0.1f i ​​1.0.2-beta1.

„Nestale granice provjeriti u rukovanju TLS otkucaja srca proširenje može se koristiti da bi se otkrilo do 64k memorije na priključeni klijenta ili poslužitelja”, pisalo je, savjetuje korisnicima da nadograditi odmah ili ukloniti otkucaje srca iz njihove verzije OpenSSL po recompiling to s -DOPENSSL_NO_HEARTBEATS.”

Ova priča je koautor Grace Caffyn.

Povezane vijesti


Post Blockchain

Co-osnivač tvrtke Gyft: Kreditna kartica koja potroši sada nadmašuje Bitcoin

Post Blockchain

Rukovoditelji Blockchaina potpisali su obećanje za rješavanje pitanja upravljanja

Post Blockchain

Projekti Svjetskog gospodarskog foruma za projekte blokiraju graničnu crtu do 2023

Post Blockchain

Što Apple može podučavati Blockchain App Designere za 2017. godinu

Post Blockchain

Je li Digital Asset 50 milijuna dolara financirao udarac za Bitcoin? VCs vagati u

Post Blockchain

Južnoafričke financijske snage igrači idu u all-in na Blockchain

Post Blockchain

Blockchain Glasovanje je ovdje za Enterprise, ali gdje su korisnici?

Post Blockchain

Jedna od najvećih banaka Južne Koreje razvija blokirajuće doznake

Post Blockchain

Blockchain Healthcare Conference Showcases Skepticizam i obećanje

Post Blockchain

Rootstock je spajanjem munje s lancem na lancu - na bočnoj traci

Post Blockchain

Što je Bitcoin Block Size Debate i zašto je to bitno?

Post Blockchain

Santander InnoVentures Chief na Blockchainovu veću sliku