Στις 7 Απριλίου το OpenSSL Project εξέδωσε μία ανακοίνωση για την ύπαρξη ενός κενού ασφαλείας στην OpenSSL βιβλιοθήκη με την ονομασία Heartbleed bug. Aν επισκέπτεστε τεχνολογικά sites και fora, είναι πιθανό να σας είναι ήδη γνώριμη η συγκεκριμένη ονομασία, αλλά και η χαρακτηριστική εικόνα που τη συνοδεύει. Στο παρόν ποστ θα δούμε κάποιες πληροφορίες για το πρόβλημα που δημιουργεί η συγκεκριμένη ευπάθεια, πόσο κρίσιμο είναι, αλλά και πώς μπορεί να αντιμετωπιστεί.
Aς δούμε καταρχήν τι είναι η OpenSSL
Αποτελεί βιβλιοθήκη ανοιχτού κώδικα, η οποία εφαρμόζει τα πρωτόκολλα SSL (Secure Sockets Layer) και TLS (Transport Layer Security) για την κρυπτογράφηση της επικοινωνίας που πραγματοποιείται ανάμεσα σε εφαρμογές μέσω διαδικτύου (π.χ web, mail, instant messaging, VPNs κ.λπ.)
Τι είναι το Heartbleed Bug
Το Heartbleed παρουσιάστηκε στην OpenSSL βιβλιοθήκη για πρώτη φορά το 2011 και επηρεάζει συγκεκριμένες εκδόσεις της (1.0.1 – 1.0.1f), καθώς και συγκεκριμένες διανομές λειτουργικών που χρησιμοποιούν κάποιο από τα προβληματικά OpenSSL versions. Το Heartbleed επιτρέπει την υποκλοπή δεδομένων που μεταδίδονται μέσω κρυπτογραφημένων συνδέσεων, οι οποίες αξιοποιούν τα SSL και TLS πρωτόκολλα. Η υποκλοπή γίνεται με τον εξής τρόπο:
Καθ΄ όλη τη χρονική διάρκεια που τα μηχανήματα επικοινωνούν μεταξύ τους, εκτός από τα δεδομένα, αποστέλλουν και ένα περιοδικό σήμα το οποίο ονομάζεται heartbeat, για να επιβεβαιώσουν ότι η επικοινωνία εξακολουθεί να υφίσταται και δεν έχει χαθεί. Αξιοποιώντας το bug, ο επιτιθέμενος αποστέλλει κακόβουλα heartbeats, τα οποία επιτρέπουν στα μηχανήματα να επιστρέφουν με κάθε heartbeat αίτημα, ακατάλληλες αποκρίσεις με δεδομένα από τη μνήμη του client ή του server. Κάθε malformed heartbeat μπορεί να αποκαλύψει έως και 64ΚΒ μνήμης. Το Gizmodo μάς δείχνει σε αυτό το cartoon με πολύ απλό τρόπο, πώς λειτουργεί το Heartbleed.
Πόσο σημαντικό είναι το πρόβλημα που προκαλείται;
Με την ανάγνωση blocks μνήμης, ο επιτιθέμενος μπορεί να παραβιάσει κλειδιά που χρησιμοποιούνται από τους servers για την πιστοποίηση service providers και την κρυπτογράφηση δεδομένων, να υποκλέψει κωδικούς πρόσβασης και ευαίσθητα προσωπικά δεδομένα που είναι καταχωρημένα στη μνήμη ενός server.
Η χρήση κρυπτογραφημένων συνδέσεων για την αποστολή δεδομένων, σημαίνει αυτόματα ότι ο χρήστης θέλει για συγκεκριμένο λόγο να προστατέψει τα δεδομένα αυτά. Επομένως η παραβίαση εσκεμμένα προστατευμένων δεδομένων, καθιστά τη φύση του Heartbleed από μόνη της απόλυτα επικίνδυνη.
Επηρεάζομαι από το Heartbleed;
Λόγω της ευρείας χρήσης της βιβλιοθήκης OpenSSL για τη σύναψη κρυπτογραφημέων συνδέσεων, είναι πιθανό ο τελικός χρήστης να επηρεάζεται είτε άμεσα, είτε έμμεσα. Υπάρχει περίπτωση η ευπάθεια να επηρεάζει τον server στον οποίο ο χρήστης φιλοξενεί το δικό του site, ή ο χρήστης να αξιοποιεί υπηρεσίες και site, τα οποία φιλοξενούνται σε server με το Heartbleed. Βάσει εκτιμήσεων, 17% των sites παγκοσμίως υπολογίστηκαν ότι ήταν προσβεβλημένα από το Heartbleed κατά την αποκάλυψη της ευπάθειας από το OpenSSL Project.
Από τη συγκεκριμένη ευπάθεια επηρεάζεται η έκδοση 1.0.2-beta του OpenSSL, καθώς και όλες οι εκδόσεις από την 1.0.1 έως και την 1.0.1f.
Οι αντίστοιχες διανομές που διέθεταν κάποια από τις ευπαθείς OpenSSL εκδόσεις, είναι οι εξής:
- Debian Wheezy (stable) ( OpenSSL 1.0.1e-2+deb7u4)
- Ubuntu 13.10 (OpenSSL 1.0.1e-3ubuntu1.1)
- Ubuntu 12.10 (OpenSSL 1.0.1c-3ubuntu2.6)
- Ubuntu 12.04.4 LTS ( OpenSSL 1.0.1-4ubuntu5.11)
- RedHat, CentOS (OpenSSL 1.0.1e-15)
- OpenSUSE 12.2 (OpenSSL 1.0.1c,)
- FreeBSD 10.0 (OpenSSL 1.0.1e)
Έχω υπηρεσίες φιλοξενίας & SSL στην TopHost. Πρέπει να κάνω κάποια ενέργεια;
Με την ανακοίνωση του Heartbleed, το τεχνικό τμήμα της TopHost προχώρησε άμεσα στις απαραίτητες ενέργειες αναβάθμισης στους servers της, ώστε να διασφαλιστεί ότι τα sites και τα δεδομένα θα παραμείνουν προστατευμένα. Αν επομένως διατηρείς τις Shared Hosting υπηρεσίες σου μαζί μας, αυτό που θα σου προτείναμε να κάνεις, είναι μία απλή αλλαγή κωδικών για την πρόσβαση:
- στο Plesk και το FTP σου. Μπορείς να δεις τη διαδικασία αλλαγής εδώ.
- στο myTophost panel. Μπορείς να δεις τη διαδικασία εδώ.
α) SSL Certificates
Σε περίπτωση που έχεις αποκτήσει SSL Certificates από την Tophost ή από κάποια άλλη εταιρία και το SSL είχε εγκατασταθεί σε server με τις ευπαθείς διανομές, είναι απαραίτητο να γίνει επανέκδοση του πιστοποιητικού σου. Αφού επιβεβαιώσεις με τον hoster σου ότι έχουν γίνει οι απαραίτητες αναβαθμίσεις της OpenSSL βιβλιοθήκης, θα πρέπει να προχωρήσεις σε επανέκδοση του πιστοποιητικού. Για τη διαδικασία αυτή έχουμε ήδη στείλει προσωπικό email σε όλους τους πελάτες μας που έχουν αποκτήσει SSL με τα βήματα αναλυτικά. Μπορείς επίσης να δεις τα βήματα εδώ.
β) VPS / Dedicated Hosting
Τέλος, αν φιλοξενείσαι σε VPS ή Dedicated Server της TopHost, είναι απαραίτητο να ελέγξεις ποια διανομή τρέχει η υπηρεσία σου και να την αναβαθμίσεις σε περίπτωση που επηρεάζεται από το Heartbleed. Για τα βήματα που πρέπει να ακολουθήσεις, σου έχει ήδη σταλεί αναλυτικό email. Μπορείς όμως, να δεις τη διαδικασία και εδώ.
Μάθε περισσότερα για το Heartbleed.
Μπες στη συζήτηση