Rengeteg problémát vet fel az OpenSSL hibája

A múlt héten az OpenSSL sebezhetősége nagy port kavart, persze nem véletlenül. A sérülékenység jóval kiterjedtebb problémákat hozott felszínre, mintsem, hogy azokat pár nap alatt orvosolni lehetne.
hirdetés
A Heartbleed néven emlegetett sebezhetőség már legalább két éve jelen van a széles körben alkalmazott OpenSSL-ben, de arról csak a múlt héten hullt le a lepel. A problémára először a Google, valamint Codenomicon biztonsági kutatói hívták fel a figyelmet. A felfedezésükkel egy olyan kiterjedt problémára világítottak rá, amelynek megoldásához hosszabb időre van szükség. Ennek oka, hogy ezúttal nemcsak a webszervereket kell frissíteni – még ha ez is a legalapvetőbb teendő –, hanem ennél több mindenre kell figyelni.

Az OpenSSL sebezhetősége kapcsán fontos hangsúlyozni, hogy ezúttal sem arról van szó, hogy az SSL, illetve TLS esetében alkalmazott titkosítási elgondolások szenvedtek csorbát, hanem sokkal inkább egy programhibáról van szó. A biztonsági rés a TLS heartbeat kiegészítősében található, ami memóriakezelési rendellenességeket idézhet elő. Ennek következtében speciálisan szerkesztett hálózati csomagok révén lehetőség van az adott szerver vagy eszköz memóriájához való hozzáférésre, ahonnan 64 KB-os blokkokban adatok szivárogtathatók ki.

Webszerverek és tanúsítványok

A múlt héten a webszerverek üzemeltetőinek többsége már biztosan felfigyelt a biztonsági kockázatra, és elkezdte frissíteni az érintett kiszolgálókat. A sebezhetőség nagyvállalatok és pénzintézetek rendszereit is sújtotta, így a foltozgatás töretlenül zajlott, és még zajlani is fog egy jó darabig. Azonban a sérülékenység megszüntetése önmagában még korántsem biztos, hogy elegendő ahhoz, hogy a kockázatok elfogadható szintre csökkenjenek. Ugyan a frissítést tartalmazó szerverek már immunisak a Heartbleed károkozásokkal szemben, azonban semmi nem garantálja azt, hogy korábban nem lett áldozat egy adott kiszolgáló. Ráadásul az ilyen jellegű támadások utólagos felismerése nagyon nehéz, adott esetben lehetetlen feladat, ugyanis a naplózások hatóköre ezekre a kártékony műveletekre nem terjedt ki.

A biztonsági cégek és szakemberek többsége további óvintézkedéseket javasolt. Egyrészt a felhasználóknak célszerű megváltoztatniuk a jelszavaikat, másrészt az üzemeltetőknek meg kell fontolniuk a sebezhető szerverekhez tartozó tanúsítványok cseréjét. Ezt egyre többen teszik meg: a Comodo jelentése szerint az utóbbi napokban 10-12-szeresére nőtt a tanúsítványcserékhez köthető műveletek száma. A tanúsítványok visszavonására és újbóli kibocsátására elsősorban azért lehet szükség, mert az adatszivárgásra lehetőséget adó hiba akár a privát kulcsok jogosulatlan kezekbe kerülését is eredményezhette vagy eredményezheti. Erre vonatkozó kísérletek már történtek, és bebizonyosodott, hogy e kockázatok valósak.

Hálózati eszközök

Az OpenSSL kapcsán feltárt hiba azért is okoz sok fejtörést, mert a sebezhető komponens nem kizárólag a webszervereket sújtja. Az OpenSSL egyebek mellett hálózati eszközökben is gyakorta felbukkan, ami most bőven ad munkát a gyártóknak. Többek között a Cisco és a Juniper fejlesztői is gőzerővel dolgoznak azon, hogy egyrészt behatárolják a sebezhető termékeik körét, másrészt azokhoz megfelelő javításokat adjanak ki. A Cisco a weboldalán közölte a sérülékeny és a potenciálisan sebezhető termékeinek listáját, de ugyanezt megtette a Juniper is. Emellett olyan gyártók is érintettek, mint például a McAfee, az IBM, az F5, az Aruba, a Kerio, a Sophos és a Splunk. Ha pedig a sérülékeny alkalmazásokat vesszük szemügyre, akkor azok között olyanokat találunk, mint az OpenVPN, a SurgeMail vagy éppen a LibreOffice.

A mobilok sem úszták meg

Az eddigiek alapján jól látható, hogy az OpenSSL hibája milyen széles körű problémát idézett elő. Azonban a történetnek még koránt sincs vége, ugyanis kiderült, hogy akár mobil készülékek is sebezhetők lehetnek. A Lookout Security vizsgálatai alátámasztották, hogy az Android 4.1.1-es és 4.2.2-es verzióit is veszélyezteti a biztonsági rés, viszont például a 4.5-ös kiadás nem sérülékeny, mivel az a kockázatot jelentő OpenSSL összetevőt nem használja. Ugyanakkor nemcsak az Android ”szenved”, hanem például a BlackBerry egyes alkalmazásai (Link, BBM, Secure Work Space for BES10) is.

Hibajavítási lehetőségek

Az OpenSSL sebezhetősége az 1.0.1f - 1.0.2-beta kiadásokat érinti. A fejlesztők a hibát az OpenSSL 1.0.1g verziójában javították ki. (Az 1.0.0-ás és 0.9.8-as főverziók nem tartalmazzák a hibát). Az interneten elérhetők olyan szolgáltatások, illetve kódok, amelyek révén ellenőrizhető, hogy egy kiszolgáló sebezhető-e vagy sem. A védekezés azonban jóval nehezebb a hálózati eszközök, az appliance-ek, valamint a mobil készülékek vonatkozásában, ugyanis azok esetében meg kell várni, hogy a gyártók kiadják a megfelelő frissítéseket vagy az új firmware verziókat.

   
Címlapról

Microsoft: nem lesz többé 123456

A Microsoft változtat az eddigi jelszóbiztonsági szabályain. Ezentúl nem enged olyan jelszavakat beállítani, amelyek nagyon gyakoriak és könnyen megfejthetők.
Biztonságportál Prémium belépés
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. A Cisco IOS XE/XR esetében egy szolgáltatásmegtagadásra lehetőséget adó hibára derült fény.

  2. A Google jelentős biztonsági frissítést adott ki a Chrome böngészőjéhez.

  3. A TYPO3 esetében egy veszélyes sebezhetőséget kell megszüntetni.

  4. A VMware vCenter Server egy XSS-alapú támadásokra lehetőséget adó hibát tartalmaz.

  5. A Xen egy olyan hibát tartalmaz, amely szolgáltatásmegtagadási támadások kockázatát veti fel.

  6. A Bucbi nevű zsaroló program öt bitcoint követel azért, hogy a tönkretett fájlok helyreállíthatóvá váljanak.

  7. A Cryptolocker zsaroló program anonim módon próbálja behajtani a követeléseit a felhasználóktól.

  8. A Tronariv trójai elektronikus levelek mellékletében terjed, és a fertőzés után számos nemkívánatos művelet végrehajtására válik alkalmassá.

  9. A Wortrik trójai FTP- és levelezőszervereket is ostromol a fertőzött számítógépekről.

  10. A Duuzer trójai adatlopásból és hátsó kapu kiépítéséből is kiveszi a részét, ezért többféle kockázatot is felvet.

Partnerhírek

  1. 6n

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  2. 17n

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  3. 26n

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  4. 1h

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  5. 1h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

  6. 1h

    A folyamatosan növekvő és egyre kifinomultabb támadások miatt, valamint a biztonságtudatos gondolkodás erősítése érdekében az ESET és a KÜRT biztonságtechnológiai cég közös szakmai útmutatással nyújt segítséget.

  7. 1h

    Megjelent a Balabit tevékenység felügyeleti megoldásának legfrissebb verziója, mely mostantól a Microsoft nyilvános felhő környezetében is képes a felhasználói aktivitások valós idejű monitorozására.

  8. 1h

    Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel.

  9. 2h

    2016 februárjában is a Bundpil féreg okozta a legtöbb fertőzést, és immár több mint fél éve vezeti a vírusok toplistáját.

  10. 2h

    Általános vélekedés és jótanács volt a biztonsági szakemberektől, hogy az igazán fontos adatainkat tartalmazó számítógépeket, vagy azok hálózatát ne csatlakoztassuk az internethez, így megvédhetjük őket a rosszindulatú adatlopó kártevőktől.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ