Теги → openssl
Быстрый переход

Команда OpenSSL анонсировала исправление опасной уязвимости

На этой неделе будет опубликована новая версия набора OpenSSL с рядом исправлений безопасности.

«Команда проекта OpenSSL желает объявить о скором выходе версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf. Эти релизы станут доступными 19 марта. Они исправят ряд дефектов безопасности. Наиболее опасный исправляемый дефект имеет “высокий” рейтинг», — говорится в уведомлении OpenSSL Project Team.

Таким образом, каждая поддерживаемая версия OpenSSL получит отдельный патч. Предположительно, авторы продукта намерены устранить системные ошибки, вызывающие угрозу безопасности, о которой на текущий момент публично не заявлено. Эти ошибки могут присутствовать в одном из протоколов, встроенных в набор, например, SSL/TLS (Secure Sockets Layer/Transport Layer Security) — краеугольном камне защиты веб-сервисов.

Последней опасной угрозой SSL/TLS стала уязвимость, позволявшая использовать так называемый механизм FREAK (Factoring RSA Export Keys) для обхода шифрования данных. На сегодняшний день данная уязвимость угрожает только пользователям Android-устройств.

Эксперты информационной безопасности ряда независимых организаций недавно провели детальный аудит кода OpenSSL в связи с брешью Heartbleed, обнаруженной в апреле прошлого года. Эта уязвимость поставила под вопрос безопасность многих сервисов, ранее считавшихся надёжными. Запланированные на эту неделю обновления, вероятно, являются следствием проводимых в последнее время исследований.

Google применила свою технологию для защиты Chrome от уязвимостей вроде Heartbleed

В прошлом месяце Google официально представила собственную модификацию криптографического пакета OpenSSL, которая получила имя BoringSSL. Дело в том, что Google давно использует в своих продуктах версию OpenSSL с целым рядом (около 70) собственных дополнений и заплаток, которые становилось всё труднее поддерживать. Обнаружение опасной уязвимости Heartbleed в OpenSSL подвигло Google представить официальную модификацию, которая будет развиваться параллельно.

Теперь Google использовала BoringSSL в последней сборке открытого браузера Chromium — со временем это новшество затронет и официальный браузер Chrome. Кстати, во время анонса BoringSSL поисковый гигант отметил, что он не стремится заменить OpenSSL, и все будущие исправления будут отправляться разработчикам оригинального криптографического пакета.

Напомним: в апреле широкой публике стало известно, что в некоторых версиях чрезвычайно популярного криптографического пакета OpenSSL была обнаружена критическая уязвимость Heartbleed, позволяющая в теории получать данные в незашифрованном виде. Это подняло серьёзные вопросы о безопасности Сети, ведь едва ли не две трети всех сайтов, работающих через HTTPS-соединения, используют OpenSSL. Чуть позже журналисты сообщили, что спецслужбы США могли знать о Heartbleed и пользоваться уязвимостью. Стоит отметить, что и сейчас Heartbleed остаётся важной проблемой — в частности, некоторое сетевое оборудование нуждается в обновлении прошивки. Подробнее об уязвимости можно прочесть в материале Игоря Осколкова «OpenSSL — рыцарь Кровоточащее Сердце» в разделе Offсянка.

Обнаружена и устранена ещё одна уязвимость в OpenSSL

С момента обнаружения критической уязвимости Heartbleed в OpenSSL прошло не так уж много времени, и вот уже поступают сообщения об обнаружении новой «дыры» в безопасности криптографического пакета с открытым кодом. Недавно обнаруженная и уже исправленная ошибка в коде позволяла злоумышленнику отслеживать перемещение пакетов с данными между OpenSSL-клиентом и OpenSSL-сервером. Правда, коснуться эта проблема могла лишь ограниченного круга пользователей OpenSSL определенной версии. Уязвимость была обнаружена ещё в мае исследователем в вопросах безопасности Масаши Кикути (Masashi Kikuchi). В так называемой группе риска оказываются все стороны клиента/сервера с предустановленной OpenSSL версий 1.0.1 или 1.0.2-beta1. Поэтому говорить о важности обновлений в таком случае не приходится.

Конкретно насчет данной недоработки в системе безопасности криптографического пакета нужно знать вот ещё что. Если вы используете настольные версии браузеров Internet Explorer, Chrome и Firefox, то проблема точно обойдет вас стороной — тут больше должны волноваться системные администраторы. Примечательно, что с момента обнаружения предыдущей «дыры» в безопасности прошло совсем мало времени. Это, как минимум, означает, что теперь технология находится под пристальным вниманием соответствующих специалистов.

Новая статья: OpenSSL — рыцарь Кровоточащее Сердце

Данные берутся из публикации OpenSSL — рыцарь Кровоточащее Сердце

Ведущие IT-компании объединились в поддержке критических важных проектов Open Source

Linux Foundation заявила о создании нового проекта, цель которого — поддержка и финансирование критически важных технологий с открытым исходным кодом. Проект Core Infrastructure Initiative призван помочь технологическим компаниям совместно определять и финансировать важные для всей индустрии проекты Open Source, которые нуждаются в помощи. При этом разработчики смогут по-прежнему работать в рамках принципов сообщества Open Source, которые позволили сделать концепцию успешной.

Среди членов-основателей Core Infrastructure Initiative присутствуют такие громкие имена, как Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и The Linux Foundation. Первый проект, который закономерно должен получить новый приток финансирования и помощь, станет криптографический пакет OpenSSL. Ключевые разработчики должны получить достойную оплату труда и другие ресурсы, которые помогут улучшать безопасность: код будет проверяться сторонними специалистами, а реагирование на запросы по исправлению ошибок станет оперативнее.

Вообще импульсом к созданию проекта, в рамках которого предполагается привлечь многомиллионные инвестиции, стал кризис в IT-безопасности и сетевой инфраструктуре, порождённый критической уязвимостью Heartbleed в криптографическом пакете OpenSSL и затронул огромное количество компаний и ключевых веб-служб.

Управлять инициативой будет Linux Foundation, ключевые разработчики Open Source и особая группа, составленная из представителей основных инвесторов. В рамках проекта предполагается финансирование постоянной занятости ключевых разработчиков Open Source, ревизии кода, предоставление вычислительной и тестовой инфраструктуры, финансирование командировок, встреч и другие способы поддержки.

Кроме OpenSSL ключевыми проектами, которые могут рассчитывать на внимание новой организации, являются, например, ядро Linux, а также различные технологии, напрямую относящиеся к безопасности, защите и интернет-финансам. В общем, инвестиции будут направляться прежде всего на те технологии, в развитии и стабильности которых заинтересованы все участники технологической отрасли.

Исторически проекты, разрабатываемые в рамках концепции Open Source, отличаются высокими показателями качества и безопасности. Например, последнее исследование качества программного обеспечения Coverity Open Scan выявило, что ПО Open Source отличается более качественным исходным кодом по сравнению с проприетарным. Но программное обеспечение становится всё более сложным. Кроме того, многие ведущие компании используют разработки Open Source для создания своих новаторских продуктов. Поддержка и развитие проектов с открытым исходным кодом становится всё более сложной задачей, поэтому повышается и необходимость в помощи разработчикам со стороны крупных компаний. Кстати, сделать вклад в фонд Core Infrastructure Initiative может каждый через официальный сайт проекта.

Представитель OpenSSL Software Foundation рассказал о проблемах организации в свете событий с Heartbleed

Стив Маркесс (Steve Marquess), один из основателей OpenSSL Software Foundation (OSF), выразил личное мнение по поводу проблем проекта в свете скандала с уязвимостью «Heartbleed». По словам Маркесса, его организация получает недостаточную поддержку от интернет-сообщества и не может в достаточной мере следить за развитием криптографического пакета OpenSSL.

OSF была сформирована для того, чтобы собирать и направлять средства на развитие OpenSSL. До событий с «Heartbleed» OSF удалось собрать в общей сложности $2000, после этого еще несколько сотен людей внесли благотворительные взносы, и эта сумма выросла до $ 9000.

Маркуесс заявил, что этих денег недостаточно даже для минимальной поддержки криптографического набора. Если все будет и дальше идти таким образом, бреши наподобие Heartbleed будут находиться вновь и вновь.

«При том, что OpenSSL принадлежит людям, не стоит считать, что несколько сотен или даже несколько тысяч человек окажут всю необходимую финансовую поддержку. Развитию проекта должны по-настоящему способствовать коммерческие компании и правительства, которые активно используют OpenSSL, считая это само собой разумеющимся», — отметил эксперт.

Помимо благотворительности, OpenSSL также собирает средства через контракты о консультационных услугах, что приносит до $250 в час. Однако к помощи экспертов OSF обращаются нечасто, и существенных денег на этом также заработать не удается. Поэтому организация не может нанять сотрудников на полный рабочий день, предоставив им стабильную зарплату.

Автор сообщения подводит итог на мысли о том, что организации требуется активная поддержка от коммерческих организаций, международных институтов и правительств стран. Тогда OSF сможет заняться реальными проблемами, в том числе вопросами безопасности, и не направлять свои силы на аккумулирование средств.

Новая статья: Главные события прошедшей недели, 7–13 апреля 2014 года

Данные берутся из публикации Главные события прошедшей недели, 7–13 апреля 2014 года

Bloomberg: АНБ знало об уязвимости OpenSSL

Авторитетный ресурс Bloomberg сообщает, что масштабная уязвимость «Сердечное кровотечение» (Heartbleed) в весьма популярном криптографическом пакете OpenSSL, которая шокировала специалистов по безопасности в Интернете, была известна Агентству национальной безопасности США (АНБ). Более того, со ссылкой на двух анонимных информаторов сообщается, что АНБ активно использовало уязвимость.

The Verge

The Verge

Об уязвимости якобы сознательно не сообщалось общественности в национальных интересах, а агентство могло относительно легко получать пароли и необходимые данные с серверов и систем, подверженных уязвимости. Bloomberg утверждает, что первоначально Heartbleed была обнаружена специалистами АНБ в 2012 году, так что агентство имело возможность эксплуатировать уязвимость почти всё время её существования.

Bloomberg, Brooks Kraft/Corbis

Bloomberg, Brooks Kraft/Corbis

Напомним: уязвимость могла быть использована для доступа к важным данным многих и многих служб и сайтов, включая Google Gmail и Amazon Web Services (упомянутые компании устранили ошибку лишь на днях). Технология OpenSSL применяется едва ли не в двух третях всех веб-сайтов и служб, использующих шифрование SSL/TLS. Один из источников Bloomberg даже заявляет, что в картотеку АНБ занесены сотни подобных уязвимостей, и агентство постоянно их использует для слежки и сбора данных.

АНБ, впрочем, официально отвергло обвинения, заявив, что не было осведомлено об ошибке до тех пор, пока она не была предана огласке в понедельник. Белый дом тоже отверг обвинение через необычно решительное и незамедлительное заявление Совета национальной безопасности: «Если бы федеральное правительство, включая разведывательное сообщество, обнаружили эту уязвимость ранее прошлой недели, о ней бы сообщили команде, ответственной за развитие OpenSSL».

Bloomberg, Brooks Kraft/Corbis

Bloomberg, Brooks Kraft/Corbis

Тем не менее, легко представить, что АНБ действительно могла обнаружить ошибку ранее, учитывая огромные ресурсы этой организации: считается, что агентство тратит $1,6 млрд в год на обработку данных и разведку, что более чем в тысячу раз больше годового бюджета проекта OpenSSL. Заинтересованная в доступе к зашифрованной информации, АНБ не могла не обращать внимание и не изучать исходные коды OpenSSL.

Если АНБ в национальных интересах действительно решило держать в секрете информацию об уязвимости Heartbleed, это может вызвать жаркие дискуссии о роли спецслужб в сообществе специалистов по компьютерной безопасности.

Bloomberg, Brooks Kraft/Corbis

Bloomberg, Brooks Kraft/Corbis

Google избавила большинство своих служб от уязвимости Heartbleed

Об уязвимости «Кровоточащее сердце» (Heartbleed) в криптографическом пакете OpenSSL, которая позволяет получать доступ к незашифрованным данным, стало известно не так давно. Как оказалось, даже многие продукты Google не были избавлены от Heartbleed, но специалисты компании активно работают над устранением проблемы в популярных службах.

Поисковый гигант сообщил, что уязвимость была уже устранена в таких ключевых службах, как Apps, App Engine, Gmail, Play, Search, Wallet и YouTube. Не стоит также беспокоиться о проблемах пользователям браузера Chrome и операционной системы Chrome OS, так как эти продукты никогда не были подвержены Heartbleed.

Мобильная платформа Android тоже не была, по сути, затронута масштабной уязвимостью, за исключением версии Android 4.1.1 — Google уже сообщает партнёрам информацию о необходимости и способах устранения дыры в безопасности. Таким образом, самые популярные и широко используемые службы и платформы компании уже безопасны, и в настоящее время ведётся работа над обновлением сервисов вроде Cloud SQL и Google Compute Engine.

Автор ошибки в OpenSSL заявил, что сделал это без злого умысла

Недавно стало известно о серьезной уязвимости в реализации OpenSSL, которая ставит под угрозу пользователей большинства интернет-сервисов.

Робин Сеггельманн (Robin Seggelmann), разработчик программного обеспечения из Германии, который виноват в наличии уязвимости, дал небольшое интервью изданию The Sydney Morning Herald. Он пояснил, что совершил ошибку, и очень жалеет об этом.

«Я работал над улучшением OpenSSL и представил исправления для множества ошибок, а также разработал новые функции. К сожалению, я пропустил переменную, содержащую длину», — пояснил программист.

Ошибка не была замечена кем-либо, и брешь, впоследствии получившая название Heartbleed, оказалась в стабильной версии OpenSSL.

Сеггельманн уверяет всех, кто сомневается, что ошибка была допущена по чистой случайности, и никакого злого умысла у него не было. «Это простая ошибка программирования в новой функции, которая, к сожалению, отразилась в области безопасности», — пояснил он.

По словам разработчика, в самом худшем случае различные учреждения могли пользоваться предоставленными данной ошибкой возможностями на протяжении последних двух лет. Он призывает всех людей, участвующих в развитии проектов с открытым кодом, очень аккуратно относиться к процессу разработки.

Уязвимость в OpenSSL угрожает безопасности практически всех пользователей сети Интернет. Используя эту брешь, злоумышленник может, например, расшифровать и подменить трафик клиентов банков, или украсть учетные данные социальных сетей.

В широко используемом криптографическом пакете найдена опасная уязвимость

В некоторых версиях очень популярного набора бесплатных инструментов шифрования сайтов OpenSSL была обнаружена опасная уязвимость, названная специалистами Google и Codenomicon «Сердечное кровотечение» (Heartbleed) и позволяющая получать данные, которые должны быть скрыты от посторонних глаз. Инструменты OpenSSL применяются чуть ли не в двух третях ресурсов, использующих HTTPS-соединения, так что опасность такой уязвимости трудно переоценить.

heartbleed.com

heartbleed.com

Согласно опубликованному на GitHub отчёту, среди 10 тысяч протестированных наиболее популярных ресурсов 628 оказались подвержены ошибке, в том числе Yahoo, Flickr, StackExchange, Avito, SteamCommunity и многие другие. Некоторые исследователи заявили, что они смогли получить имена и пароли пользователей Yahoo.

Многие другие ресурсы вроде Google, Amazon, и eBay, согласно тестам, оказались избавлены от проблемы. После обнародования в понедельник данных об уязвимости владельцы веб-сайтов, включая Yahoo, начали спешно исправлять проблему. Представитель Yahoo отметила, что компания уже внесла соответствующие коррективы.

OpenSSL используется министерствами обороны и национальной безопасности США, на своём сайте клиентам Amazon советовала пользователям AWS применять OpenSSL для шифрования своих сайтов. В своём блоге Amazon заявила, что уже почти устранила проблему для всех клиентов AWS.

Развитием OpenSSL руководит команда из четырёх европейских программистов, только один из которых считает это занятие своей основной работой. Таким образом, налицо явный недостаток ресурсов для столь важного протокола веб-шифрования, несмотря на рост опасений относительно атак злоумышленников и слежки спецслужб.

Aurich Lawson / Thinkstock

Aurich Lawson / Thinkstock

Веб-сайты всё активнее используют шифрование для защиты важных данных пользователей вроде имён, паролей, номеров кредитных карт и так далее. Это усложняет хакерам задачу по перехвату передаваемой по каналам связи информации. К такому типу защиты можно отнести криптографические протоколы SSL (Secure Sockets Layer — уровень защищённых сокетов) и TLS (Transport Layer Security — безопасность транспортного уровня), широко применяемые для защиты информации, передаваемой между клиентом и сервером.

Веб-серверы, использующие уязвимые версии инструментов OpenSSL, хранят часть данных в незащищённой области памяти. Причём как хакер может получить данные с уязвимого сервера, так и сервер злоумышленника в состоянии считать незащищённую область оперативной памяти клиентской системы. Полученную информацию можно использовать для мониторинга активности или даже извлечения важных данных об учётных записях. При этом нет никаких ограничений на местоположение клиентской системы и сервера — атаку можно осуществлять из любой точки сети.

Создание криптографического кода — сложная задача, так что многие владельцы серверов предпочитают использовать бесплатные инструменты OpenSSL, выпущенные изначально в конце 1990-х. Президент организации OpenSSL Software Foundation, занимающейся поиском средств для команды разработчиков, Стив Маркус (Steve Marques) отмечает, что в 2013 году бюджет фонда был менее $1 млн. По его мнению, дело разработки и поддержки системы можно было бы улучшить, например, проводя официальные ревизии кода.

Исследователи отмечают, что ошибка Heartbleed присутствует в исходном коде OpenSSL почти два года. Большая часть веб-сайтов оказались застигнуты врасплох уязвимостью. «Если вам необходима строгая конфиденциальность и приватность, — отметил президент известной службы Tor Project Роджер Динглдайн (Roger Dingledine), — вам лучше в ближайшие дни подальше держаться от Интернета, пока всё не образуется и уязвимость не будет устранена».

1024-битный ключ RSA взломали за 100 часов

Ученые из Мичиганского университета утверждают, что им удалось найти серьёзную уязвимость в одном из наиболее используемых программных продуктов для шифрования данных, которая позволяет получить секретный ключ. Найденный баг в криптографической библиотеке OpenSSL нельзя оставлять без внимания, так как этот программный модуль используется для защиты информации в огромном количестве различных приложений и операционных системах. Ученые обнаружили возможность получения малых частей секретного ключа RSA с помощью воздействия на блок питания системы незначительными флуктуациями напряжения в момент обработки зашифрованных сообщений. Генерируя однобитные ошибки в операциях умножения, исследователи сумели получить порции разрядов секретного ключа. После получения 8800 некорректно сформированных RSA-сигнатур от атакуемого устройства, исследователи отправили данные для анализа на кластер, состоящий из 81 системы на базе 2,4-ГГц процессоров Intel Pentium 4. Экспериментальная атака проводилась на встраиваемую систему на базе чипа SPARC, работающую под управлением Linux. Чуть более ста часов им хватило для получения таким способом целого 1024-разрядного ключа.
rsa attack
Как отмечается, данная атака не столь опасна для серверных систем, которые обычно находятся в помещениях с ограниченным доступом, как для пользовательских устройств. Например, в Blu-ray плеер может быть “вшит” секретный ключ для защиты интеллектуальной собственности, и имея полный физический доступ к системе хакер может воспользоваться найденной уязвимостью. Но и серверные системы нельзя исключать из зоны риска, ведь для изощренных злоумышленников отсутствие физического доступа не может стать серьезной помехой для атаки. В данный момент исследователи также изучают возможность использования данной уязвимости с помощью лазеров или природных источников излучения. Также интересно отметить, что ученые не исключают возможность использования данного метода атаки и для других криптографических библиотек, например, предлагаемых Mozilla Foundation. Реализовать предложенную исследователями атаку очень сложно с технической точки зрения, хотя её можно применить к самым разным типам устройств, включая мультимедийные проигрыватели и смартфоны с технологиями защиты от копирования. К счастью, исправить найденную уязвимость легко, считают ученые. Достаточно добавить так называемой “соли” в алгоритм коррекции ошибок, что сделает атаку невозможной. Официальный представитель The OpenSSL Project, пожелавший остаться неизвестным, заявил, что инженеры уже работают над выпуском соответствующего исправления. Материалы по теме: Источники:

window-new
Soft
Hard
Тренды 🔥