Rengeteg problémát vet fel az OpenSSL hibája

A múlt héten az OpenSSL sebezhetősége nagy port kavart, persze nem véletlenül. A sérülékenység jóval kiterjedtebb problémákat hozott felszínre, mintsem, hogy azokat pár nap alatt orvosolni lehetne.
hirdetés
A Heartbleed néven emlegetett sebezhetőség már legalább két éve jelen van a széles körben alkalmazott OpenSSL-ben, de arról csak a múlt héten hullt le a lepel. A problémára először a Google, valamint Codenomicon biztonsági kutatói hívták fel a figyelmet. A felfedezésükkel egy olyan kiterjedt problémára világítottak rá, amelynek megoldásához hosszabb időre van szükség. Ennek oka, hogy ezúttal nemcsak a webszervereket kell frissíteni – még ha ez is a legalapvetőbb teendő –, hanem ennél több mindenre kell figyelni.

Az OpenSSL sebezhetősége kapcsán fontos hangsúlyozni, hogy ezúttal sem arról van szó, hogy az SSL, illetve TLS esetében alkalmazott titkosítási elgondolások szenvedtek csorbát, hanem sokkal inkább egy programhibáról van szó. A biztonsági rés a TLS heartbeat kiegészítősében található, ami memóriakezelési rendellenességeket idézhet elő. Ennek következtében speciálisan szerkesztett hálózati csomagok révén lehetőség van az adott szerver vagy eszköz memóriájához való hozzáférésre, ahonnan 64 KB-os blokkokban adatok szivárogtathatók ki.

Webszerverek és tanúsítványok

A múlt héten a webszerverek üzemeltetőinek többsége már biztosan felfigyelt a biztonsági kockázatra, és elkezdte frissíteni az érintett kiszolgálókat. A sebezhetőség nagyvállalatok és pénzintézetek rendszereit is sújtotta, így a foltozgatás töretlenül zajlott, és még zajlani is fog egy jó darabig. Azonban a sérülékenység megszüntetése önmagában még korántsem biztos, hogy elegendő ahhoz, hogy a kockázatok elfogadható szintre csökkenjenek. Ugyan a frissítést tartalmazó szerverek már immunisak a Heartbleed károkozásokkal szemben, azonban semmi nem garantálja azt, hogy korábban nem lett áldozat egy adott kiszolgáló. Ráadásul az ilyen jellegű támadások utólagos felismerése nagyon nehéz, adott esetben lehetetlen feladat, ugyanis a naplózások hatóköre ezekre a kártékony műveletekre nem terjedt ki.

A biztonsági cégek és szakemberek többsége további óvintézkedéseket javasolt. Egyrészt a felhasználóknak célszerű megváltoztatniuk a jelszavaikat, másrészt az üzemeltetőknek meg kell fontolniuk a sebezhető szerverekhez tartozó tanúsítványok cseréjét. Ezt egyre többen teszik meg: a Comodo jelentése szerint az utóbbi napokban 10-12-szeresére nőtt a tanúsítványcserékhez köthető műveletek száma. A tanúsítványok visszavonására és újbóli kibocsátására elsősorban azért lehet szükség, mert az adatszivárgásra lehetőséget adó hiba akár a privát kulcsok jogosulatlan kezekbe kerülését is eredményezhette vagy eredményezheti. Erre vonatkozó kísérletek már történtek, és bebizonyosodott, hogy e kockázatok valósak.

Hálózati eszközök

Az OpenSSL kapcsán feltárt hiba azért is okoz sok fejtörést, mert a sebezhető komponens nem kizárólag a webszervereket sújtja. Az OpenSSL egyebek mellett hálózati eszközökben is gyakorta felbukkan, ami most bőven ad munkát a gyártóknak. Többek között a Cisco és a Juniper fejlesztői is gőzerővel dolgoznak azon, hogy egyrészt behatárolják a sebezhető termékeik körét, másrészt azokhoz megfelelő javításokat adjanak ki. A Cisco a weboldalán közölte a sérülékeny és a potenciálisan sebezhető termékeinek listáját, de ugyanezt megtette a Juniper is. Emellett olyan gyártók is érintettek, mint például a McAfee, az IBM, az F5, az Aruba, a Kerio, a Sophos és a Splunk. Ha pedig a sérülékeny alkalmazásokat vesszük szemügyre, akkor azok között olyanokat találunk, mint az OpenVPN, a SurgeMail vagy éppen a LibreOffice.

A mobilok sem úszták meg

Az eddigiek alapján jól látható, hogy az OpenSSL hibája milyen széles körű problémát idézett elő. Azonban a történetnek még koránt sincs vége, ugyanis kiderült, hogy akár mobil készülékek is sebezhetők lehetnek. A Lookout Security vizsgálatai alátámasztották, hogy az Android 4.1.1-es és 4.2.2-es verzióit is veszélyezteti a biztonsági rés, viszont például a 4.5-ös kiadás nem sérülékeny, mivel az a kockázatot jelentő OpenSSL összetevőt nem használja. Ugyanakkor nemcsak az Android ”szenved”, hanem például a BlackBerry egyes alkalmazásai (Link, BBM, Secure Work Space for BES10) is.

Hibajavítási lehetőségek

Az OpenSSL sebezhetősége az 1.0.1f - 1.0.2-beta kiadásokat érinti. A fejlesztők a hibát az OpenSSL 1.0.1g verziójában javították ki. (Az 1.0.0-ás és 0.9.8-as főverziók nem tartalmazzák a hibát). Az interneten elérhetők olyan szolgáltatások, illetve kódok, amelyek révén ellenőrizhető, hogy egy kiszolgáló sebezhető-e vagy sem. A védekezés azonban jóval nehezebb a hálózati eszközök, az appliance-ek, valamint a mobil készülékek vonatkozásában, ugyanis azok esetében meg kell várni, hogy a gyártók kiadják a megfelelő frissítéseket vagy az új firmware verziókat.

   
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A phpMyAdmin frissítésével számos veszélyes sebezhetőségnek lehet búcsút inteni.

  2. Az IBM WebSphere Portal adatmanipulációkra és jogosulatlan hozzáférésre lehetőséget adó hibát tartalmaz.

  3. A Munidub trójai egy meglehetősen óvatos kártékony program, amely előkészíti a terepet egyéb, jóval károsabb szerzemények számára.

  4. A WordPress legújabb kiadása számos biztonsági hibát javít.

  5. A Pidgin fontos hibajavításokkal gyarapodott.

  6. A Cisco 8800 Series IP Phones készülékek kapcsán két sebezhetőségre derült fény.

  7. A Shimrat trójai hátsó kapu kiépítésével segíti a támadókat a rendszerek jogosulatlan elérésében.

  8. A Racryptor trójai egy vérbeli orosz zsaroló program, amely helyreállíthatatlan károkat képes előidézni.

  9. A Cryptolocker zsaroló program legújabb variánsa akár 750 dollárt is követelhet az általa tönkretett állományok helyreállításáért.

  10. A Bayads reklámprogram a webböngészőben és azon kívül is képes bosszantó hirdetéseket megjeleníteni.

Partnerhírek

  1. 5n

    A PiK-SYS Kft. évről-évre megrendezésre kerülő nyári IT biztonsági szemináriuma idén 2016.06.29-én, “Intelligencia és együttműködés az IT biztonságban” címmel kerül megtartásra.

  2. 9n

    Első helyre ugrott előre a ScriptAttachment trójai, amely fertőzött e-mailek mellékletében terjed, és javarészt zsaroló kártevőket terjeszt.

  3. 19n

    A labdarúgó Európa-bajnokságra utazó szurkolókat folyamatosan figyelmeztetik a különböző biztonsági intézkedések fontosságára és betartására, de vajon biztonságban vannak-e az itthoni szurkolók?

  4. 24n

    Június közepén kerül megrendezésre az Open Academy, amely közösségi keretek között kínál ingyenes továbbképzési lehetőséget több száz informatikus szakember számára.

  5. 26n

    A zsarolóvírusok újabb hulláma érte el Európát, a szomszédos országok most nagyobb veszélyben vannak.

  6. 1h

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  7. 1h

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  8. 1h

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  9. 2h

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  10. 2h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ