Die einfache Secruity Maßnahme, die Heartbleed Toten gestoppt haben könnte


Wir lernten gestern einen katastrophalen Fehler, den Spitznamen "Heartbleed," hat, die die Sicherheit von einigen HTTPS-Seiten kritisch bedroht, seit 2011. Durch einige Schätzungen betrifft Heartbleed 2 von 3 Web-Server im Internet.

Heartbleed ist kein Fehler bei der Gestaltung von HTTPS selbst, sondern vielmehr das Ergebnis einer einfachen Programmierfehler in einem weit verbreiteten Stück Software namens OpenSSL. Es ermöglicht einem Angreifer, der sich mit einem HTTPS-Server läuft eine anfällige Version von OpenSSL verbindet auf bis zu 64 KB von privaten Speicherplatz zugreifen. Den Angriff einmal tun kann leicht dazu führen, den Server Leck Cookies, e-Mails und Passwörter. Den Angriff wiederholt auf clevere Weise tun kann potenziell gesamte kryptografische Schlüssel, wie die private SSL-Schlüssel verwendet, um HTTPS-Datenverkehr zu schützen auslaufen. Wenn ein Angreifer Zugriff auf eine Website private SSL-Schlüssel hat, können sie führen Sie eine gefälschte Version der Website bzw. Informationen, die Benutzer, einschließlich Passwörter, private Nachrichten und Kreditkartennummern senden stehlen. Weder Anwender noch Website-Besitzer können diesen Angriff erkennen, wie es geschieht.

Es ist wichtig zu betonen, dass einige wichtige Dienste, dass der Zugriff auf jeden Tag von Heartbleed, einschließlich Yahoo Mail und LastPass betroffen waren. Wir waren nicht immun, da die meisten EFF Server anfälliger Versionen von OpenSSL ausgeführt wurden. Auch die privaten Identitätsschlüssel von Tor Hidden Services verwendet können kompromittiert haben potenziell setzen einige Journalisten-Organisationen Kommunikation mit anonymen Quellen gefährdet.

Glücklicherweise gibt es eine wichtige Abschwächung, die tatsächlich einige Nutzer aus diesem Alptraum Sicherheit geschützt: vorwärts Geheimhaltung zu perfektionieren. Wenn ein Server konfiguriert wurde, um nach vorne Geheimhaltung zu unterstützen, kann ein Kompromiss aus seinen privaten Schlüssel verwendet werden, vorbei an Kommunikation zu entschlüsseln. In anderen Worten, wenn jemand leckt oder eine Kopie des EFF private SSL-Schlüssel heute stiehlt, ist jeder Datenverkehr auf EFF Website in der Vergangenheit seit EFF Unterstützung vorwärts Geheimhaltung immer noch sicher.

Leider unterstützen die meisten HTTPS-Websites auf dem Internet noch nicht vorwärts Geheimhaltung, was bedeutet, dass ein großer Teil Ihrer vergangenen Kommunikation mit diesen Servern ist anfällig für Entschlüsselung, wenn private SSL-Schlüssel kompromittiert werden. Beispielsweise, wenn jemand Ihre HTTPS-verschlüsselte Nachrichten zu Yahoo seit mehreren Jahren abfangen hat und habe dann eine Kopie des privaten Schlüssels Yahoos gestern mit Heartbleed, wären sie in der Lage, zurück zu gehen und die bisher unverständliche Aufzeichnung Ihrer alten Kommunikation heute zu entschlüsseln zu verwenden – wenn diese Mitteilungen über eine vorwärts-Geheimhaltung-fähigen Verbindung vorgenommen wurden.

In diesem Moment ist vorwärts Geheimhaltung wichtiger als je zuvor. Nun, da die Details der Heartbleed sind öffentlich, kann jeder es gegen Server verwenden, die nicht noch die OpenSSL-Bug gepatcht und SSL-Zertifikate geändert. Es kann einfach dauern, Wochen oder Monate für Entwickler neue SSL-Zertifikate bereitstellen, und trotzdem Zertifikat Widerruf Systeme sind unzuverlässig und schlecht geeignet, um das moderne Web. In der Zwischenzeit bleibt keine Daten, die Sie betroffenen Server senden, die nach vorne Geheimhaltung nicht offen für Lauschangriffe und böswillige Manipulationen.

In der Nachmahd der gestrigen Ereignisse ist es klar, dass vorwärts Geheimhaltung gegen unvorhersehbare Bedrohungen auf SSL-private Schlüssel zu schützen gilt. Ob diese Bedrohung ist eine bestehende oder zukünftige Software-Bug, ein Einheimischer, den Schlüssel, eine geheime Regierung Nachfrage, Überwachung oder eine neue kryptografische Durchbruch ermöglichen stiehlt, ist die Schönheit der vorwärts Geheimhaltung, dass die Privatsphäre der heutigen Sitzungen, am Morgen, Informationen geheim zu halten abhängig ist.

Obwohl wir diesen Fehler auf Servern des EFF gepatcht haben und kriechen, um unsere Schlüssel so schnell wie möglich zu drehen, sind wir erleichtert, dass unsere potenziellen Schäden durch Heartbleed niedriger ist, weil wir letzten Sommer nach vorne Geheimhaltung aktiviert. Es ist eindeutig Zeit für andere Websites, um dies ebenfalls zu tun.

PS: Zum Glück, die Integrität der Downloads für Firefox und Chrome sind nicht gefährdet durch Heartbleed. Und zwar deshalb, weil wir neben dem servieren Downloads über SSL/TLS, HTTPS Everywhere Updates melden Sie mit einem offline-Schlüssel zur Authentizität zu gewährleisten, auch wenn Sicherheit auf Transportebene gebrochen ist. Sie können diese Anweisungen verwenden, um sicherzustellen, dass Ihre Kopie von HTTPS Everywhere die richtige Update-Taste hat. Im Hinblick auf Heartbleed sind wir froh, dass der Chrome Webstore kann Entwickler von Erweiterungen sollen ihren eigenen Code signing-Tasten für den Fall, dass Google SSL-Zertifikate sind gefährdet; bis den Mozilla Addons laden in ähnlicher Weise funktioniert, wollen wir HTTPS Everywhere für Firefox auf unseren eigenen Servern hosten zu halten.

1. Angesichts der Schwere dieser Fehler fordern wir Website-Betreiber mit Versionen 1.0.1-1.0.1f von OpenSSL sofort auf OpenSSL 1.0.1g aktualisieren oder neu kompilieren OpenSSL mit der - DOPENSSL_NO_HEARTBEATS-Flagge; Darüber hinaus sollten alle betroffenen Server erhalten Sie ein neues SSL-Zertifikat und drehen Sie alle Schlüssel, die aus dem Speicher nach der Aktualisierung geleckt worden konnte. Bitte auch daran denken Sie, Ihre Lastenausgleich nach dem Update neu zu starten.

2. Qualys SSL Labs hat ein ausgezeichnetes Online-Werkzeug zu prüfen, ob eine Website derzeit von Heartbleed Angriffe anfällig ist. Abschnitt "Protokolldetails" der Ergebnisse zeigt auch Unterstützung für vorwärts Geheimhaltung.

3. das setzt voraus, dass ein Angreifer nicht aktive Mann-in-the-Middle-Angriffen während jedes SSL-Handshakes ausführt. Jedoch wird diese Bedrohung wahrscheinlich in Zukunft durch Maßnahmen wie Zertifikat Transparenz gemildert werden.

Dieser Beitrag erschien auf Electronic Frontier Foundation und ist hier unter Creative Commons Lizenz veröffentlicht.

Verwandte Artikel

Eine neue Simulation zeigt, wie die Alcatraz Ausbrecher überlebt haben könnte

Im Jahr 1962 versuchte drei Insassen im Staatsgefängnis von Alcatraz eines der kühnsten und geniale entweicht aller Zeiten. Sie stieg aus Alcatraz, aber wo sie gelandet ist noch ein Rätsel. Das FBI kam zu dem Schluss, dass sie wahrscheinlich ertrunken. Ab...

5 Erfindungen von Nikola Tesla, das die Welt verändert haben könnte verloren

Bevor Tesla den Namen einer großen amerikanischen Elektro-Auto-Marke war, war es der Name des berühmt-berüchtigten aus dem 19. Jahrhundert Erfinder Nikola Tesla. Trotz missachtet weitgehend im Laufe seines Lebens, wurde Geschichte Art Tesla und seine bahn...

Dies ist, wie die NASA Astronauten gerettet haben könnte gestrandet im Raum

Die Space Shuttle Columbia-Katastrophe, die alle sieben Astronauten an Bord getötet, beendete effektiv das Shuttle-Programm. Nun, ein ehemaliger Ingenieur schlägt eine radikale (wenn auch nur hypothetisch) Lösung zur Rettung von gestrandeten Astronauten,...

Die verlassenen kommunistischen Kernreaktor, die uns getötet haben könnte alle

Nur 90 Meilen weg von der Spitze von Florida liegt ein unausgegoren, verlassene Relikt aus der Zeit des Kalten Krieges Rüstungswettlauf – was einmal eine gemeinsame kubanisch-sowjetischen Kernreaktor sein wollte. Und Gott sei Dank es nie verrissen heraus....

Wie ein einfaches Design-Fehler ein NYC Wolkenkratzer gestürzt haben könnte

Als er im Jahre 1977 erbaut wurde, war Citicorp Center (später umbenannt in Citigroup Center, jetzt genannt 601 Lexington), bei 59 Geschichten, das siebte-höchste Gebäude der Welt. Sie holen es aus der Skyline von New York City von der 45-Grad abgewi...

5 wissenschaftliche Fortschritte, die alles verändert haben, sollten

Eines unserer Lieblingsthemen ist weltverändernde Erfindungen, die die Welt einfach ignoriert. Fast alles, was denken Sie an, wie eine neue Erfindung tatsächlich erfunden wurde über Jahrzehnte oder gar Jahrhunderte früher und prompt vergessen. Manchmal is...

6 archäologische Fälschungen, die Geschichte geschrieben haben könnte

Wenn ein Museum eine große Sammlung von gespendeten Antiquitäten erwirbt, ist es nicht ungewöhnlich für Kuratoren zu finden, dass wenigstens ein paar von ihnen gefälscht sind. Während die Fälschung von Artefakten an der Tagesordnung ist gibt es einige Fäl...

5 einfache Ideen, die Reise (und Leben) machen könnte viel einfacher

Wir hören immer, wie schnell Technologie bewegt. Deine Eltern benötigt 18-Rad-LKW und sieben bis 10 Werktage, um die Anzahl der Medien zu bewegen haben Sie auf Ihrem Handy in 15 Minuten. Aber wenn es darum geht, Menschen herum bewegen, stecken wir ziemlic...

Die Heartbleed-gefährdeten Passwörter, die Sie gerade jetzt ändern müssen

Inzwischen stehen die Chancen, dass Sie bereits über die unsinnigerweise riesige Sicherheitslücke in SSL gehört habe. Sie haben wahrscheinlich auch gehört, wie es leicht Sie zu allerlei ruchlosen Aktivitäten in den vergangenen Jahren ausgesetzt hinterlass...

6 populäre Lieder, die Sie nicht wissen, haben dunkle versteckte Botschaften

Der Nachteil einen subtilen Punkt in ein Lied über die conditio humana zu machen ist, dass niemand auf subtile Punkte in Liedern achtet. Ihre durchschnittliche Zuhörer sind nicht die Ohren im Moment grundieren, wenn ein Künstler die perfekte lyrische Meta...

7 gruselig Videospiel-Ostereier, die wir wünschen haben wir nie gefunden

Wenn Sie sich in einem guten Video-Spiel gefangen sind, sind Sie in der Regel in einem ziemlich blind Zustand: Sie können kaum bemerken, Ihre Blase ist von Pause zu Bad in 15 Stunden explodieren, geschweige denn achten auf jedes kleine Detail auf Ihr...

5 Killer Streiche, die Politiker zu beweisen haben einen Sinn für Humor

Wer jemals eine Präsidentschaftswahl erlebt hat kann bezeugen, sind Politik eine unerschöpfliche Quelle der Komödie. Allerdings ist es eher generell weniger "intelligent geschrieben Dialog" Comedy und mehr "düster Absurdismus mit Menschen,...

5 kommenden Comic-Filme, die müssen gestoppt werden

Vor dem Hintergrund der jüngsten Überschuss von Blockbustern Superhelden-Filme alle aber monströse Studio Einnahmen zu garantieren hat Hollywood den Boden laufen und grünes Licht jedes Skript mit einem gewalttätigen Mann in seiner Unterwäsche von Captain...

Meinem ungeborenen Sohn: Sachen, die ich nicht die Kugeln zu sagen haben

Mein unconceived (oder ohne mein Wissen in einem fremden Land geboren) ist Sohn, vermutlich getauft Digory oder Eustace von Ihrem englischen Mutter, aber Ihre geheimen Namen, die zu den Sternen der Nacht du geboren wurdest, flüsterte ich--Sue: Es gibt so...