Rengeteg problémát vet fel az OpenSSL hibája

A múlt héten az OpenSSL sebezhetősége nagy port kavart, persze nem véletlenül. A sérülékenység jóval kiterjedtebb problémákat hozott felszínre, mintsem, hogy azokat pár nap alatt orvosolni lehetne.
hirdetés
A Heartbleed néven emlegetett sebezhetőség már legalább két éve jelen van a széles körben alkalmazott OpenSSL-ben, de arról csak a múlt héten hullt le a lepel. A problémára először a Google, valamint Codenomicon biztonsági kutatói hívták fel a figyelmet. A felfedezésükkel egy olyan kiterjedt problémára világítottak rá, amelynek megoldásához hosszabb időre van szükség. Ennek oka, hogy ezúttal nemcsak a webszervereket kell frissíteni – még ha ez is a legalapvetőbb teendő –, hanem ennél több mindenre kell figyelni.

Az OpenSSL sebezhetősége kapcsán fontos hangsúlyozni, hogy ezúttal sem arról van szó, hogy az SSL, illetve TLS esetében alkalmazott titkosítási elgondolások szenvedtek csorbát, hanem sokkal inkább egy programhibáról van szó. A biztonsági rés a TLS heartbeat kiegészítősében található, ami memóriakezelési rendellenességeket idézhet elő. Ennek következtében speciálisan szerkesztett hálózati csomagok révén lehetőség van az adott szerver vagy eszköz memóriájához való hozzáférésre, ahonnan 64 KB-os blokkokban adatok szivárogtathatók ki.

Webszerverek és tanúsítványok

A múlt héten a webszerverek üzemeltetőinek többsége már biztosan felfigyelt a biztonsági kockázatra, és elkezdte frissíteni az érintett kiszolgálókat. A sebezhetőség nagyvállalatok és pénzintézetek rendszereit is sújtotta, így a foltozgatás töretlenül zajlott, és még zajlani is fog egy jó darabig. Azonban a sérülékenység megszüntetése önmagában még korántsem biztos, hogy elegendő ahhoz, hogy a kockázatok elfogadható szintre csökkenjenek. Ugyan a frissítést tartalmazó szerverek már immunisak a Heartbleed károkozásokkal szemben, azonban semmi nem garantálja azt, hogy korábban nem lett áldozat egy adott kiszolgáló. Ráadásul az ilyen jellegű támadások utólagos felismerése nagyon nehéz, adott esetben lehetetlen feladat, ugyanis a naplózások hatóköre ezekre a kártékony műveletekre nem terjedt ki.

A biztonsági cégek és szakemberek többsége további óvintézkedéseket javasolt. Egyrészt a felhasználóknak célszerű megváltoztatniuk a jelszavaikat, másrészt az üzemeltetőknek meg kell fontolniuk a sebezhető szerverekhez tartozó tanúsítványok cseréjét. Ezt egyre többen teszik meg: a Comodo jelentése szerint az utóbbi napokban 10-12-szeresére nőtt a tanúsítványcserékhez köthető műveletek száma. A tanúsítványok visszavonására és újbóli kibocsátására elsősorban azért lehet szükség, mert az adatszivárgásra lehetőséget adó hiba akár a privát kulcsok jogosulatlan kezekbe kerülését is eredményezhette vagy eredményezheti. Erre vonatkozó kísérletek már történtek, és bebizonyosodott, hogy e kockázatok valósak.

Hálózati eszközök

Az OpenSSL kapcsán feltárt hiba azért is okoz sok fejtörést, mert a sebezhető komponens nem kizárólag a webszervereket sújtja. Az OpenSSL egyebek mellett hálózati eszközökben is gyakorta felbukkan, ami most bőven ad munkát a gyártóknak. Többek között a Cisco és a Juniper fejlesztői is gőzerővel dolgoznak azon, hogy egyrészt behatárolják a sebezhető termékeik körét, másrészt azokhoz megfelelő javításokat adjanak ki. A Cisco a weboldalán közölte a sérülékeny és a potenciálisan sebezhető termékeinek listáját, de ugyanezt megtette a Juniper is. Emellett olyan gyártók is érintettek, mint például a McAfee, az IBM, az F5, az Aruba, a Kerio, a Sophos és a Splunk. Ha pedig a sérülékeny alkalmazásokat vesszük szemügyre, akkor azok között olyanokat találunk, mint az OpenVPN, a SurgeMail vagy éppen a LibreOffice.

A mobilok sem úszták meg

Az eddigiek alapján jól látható, hogy az OpenSSL hibája milyen széles körű problémát idézett elő. Azonban a történetnek még koránt sincs vége, ugyanis kiderült, hogy akár mobil készülékek is sebezhetők lehetnek. A Lookout Security vizsgálatai alátámasztották, hogy az Android 4.1.1-es és 4.2.2-es verzióit is veszélyezteti a biztonsági rés, viszont például a 4.5-ös kiadás nem sérülékeny, mivel az a kockázatot jelentő OpenSSL összetevőt nem használja. Ugyanakkor nemcsak az Android ”szenved”, hanem például a BlackBerry egyes alkalmazásai (Link, BBM, Secure Work Space for BES10) is.

Hibajavítási lehetőségek

Az OpenSSL sebezhetősége az 1.0.1f - 1.0.2-beta kiadásokat érinti. A fejlesztők a hibát az OpenSSL 1.0.1g verziójában javították ki. (Az 1.0.0-ás és 0.9.8-as főverziók nem tartalmazzák a hibát). Az interneten elérhetők olyan szolgáltatások, illetve kódok, amelyek révén ellenőrizhető, hogy egy kiszolgáló sebezhető-e vagy sem. A védekezés azonban jóval nehezebb a hálózati eszközök, az appliance-ek, valamint a mobil készülékek vonatkozásában, ugyanis azok esetében meg kell várni, hogy a gyártók kiadják a megfelelő frissítéseket vagy az új firmware verziókat.

   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A Linux kernel egy szolgáltatásmegtagadási támadásokra lehetőséget adó hibát rejt.

  2. A FreeBSD-hez egy újabb biztonsági frissítés vált elérhetővé.

  3. A Spraxeth féreg elsősorban hálózati megosztásokon keresztül terjed, és egy hátsó kapuval veszélyezteti a számítógépeket.

  4. A Google Chrome újabb biztonsági frissítésekkel gyarapodott.

  5. A PHP kapcsán számos sebezhetőséget kell megszüntetni.

  6. A Ransomcrypt zsaroló program egy szimpla szöveges fájl révén közli a követeléseit a felhasználóval.

  7. Az Oracle Database számos sérülékenység miatt kapott frissítést.

  8. Amint a Pycerine trójai minden számára fontos adatot ellopott a fertőzött számítógépről, megsemmisíti önmagát.

  9. A Cryptolocker zsaroló program készítői mostantól e-mailben hajlandóak kommunikálni az áldozatukul eső felhasználókkal.

  10. A Polock.A trójai egy PowerShell script segítségével rombolja a számítógépeken található állományokat.

Partnerhírek

  1. 1n

    Az ESET júniusi listájára egy olyan kártékony szerzemény is felkerült, amely webböngészők manipulálásával és a felhasználók ártalmas weboldalakra történő vezetésével segíti a vírusterjesztőket.

  2. 8n

    Számos fejlesztő próbálkozik a felhasználók megtévesztésével, hogy rávegyék őket a hasznosnak látszó alkalmazásaik letöltésére.

  3. 14n

    Az elmúlt év során az ESET több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet.

  4. 26n

    Fogkefe? Megvan. Törölköző? Megvan. Laptop, okostelefon, táblagép? Megvan.

  5. 28n

    Felismerhetetlen adattárolók, leejtett gépek és a zsarolóvírusok is gondot okozhatnak.

  6. 1h

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  7. 1h

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  8. 1h

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

  9. 1h

    Június közepén kerül megrendezésre az Open Academy, amely közösségi keretek között kínál ingyenes továbbképzési lehetőséget több száz informatikus szakember számára.

  10. 1h

    A zsarolóvírusok újabb hulláma érte el Európát, a szomszédos országok most nagyobb veszélyben vannak.

Eseménynaptár
Hacktivity 2016 10.21.
ISF’s 27th Annual World Congress 10.22.
hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ