Major Security Flaw 'Heartbleed' Inilalagay sa Panganib ang Mga Serbisyong Kritikal

Mahigit sa kalahati ng internet ay maaaring nakompromiso ng isang dalawang taong gulang na kakulangan sa seguridad na maaari ring makaapekto sa isang bilang ng mga online na serbisyo ng Bitcoin , ito ay ipinahayag ngayon.

Ang kahinaan, pinangalanang 'Heartbleed', ay nakakaapekto sa mga bersyon ng OpenSSL, isang open-source na pagpapatupad ng SSL at TLS na mga protocol ng seguridad sa internet na nag-e-encrypt at nagse-secure ng trapiko sa internet, kabilang ang: mga password, mensahe, e-commerce at pagbabangko, at iba pang sensitibong data kabilang ang Virtual Private Networks (VPN). Ang OpenSSL ay ang pinakasikat na library ng software na ginagamit para sa layuning ito.

Dalawang taong gulang

Ang Heartbleed flaw ay naiulat na kilala sa mga mananaliksik mula noong 2011, at maging ang mga 'black hat' na hacker mula noong 2012, ibig sabihin, ang kritikal na data sa malaking bahagi ng internet ay bukas na magagamit sa loob ng maraming taon. Walang nakumpirma na mga ulat ng mga pagsasamantala, kahit na ang mga pag-atake ay hindi nag-iiwan ng bakas.

Ang mga admin ng seguridad sa buong mundo ay nagmamadali na ngayong nag-aaplay ng pag-aayos, at nagpapalit ng mga certificate at mga Secret na susi sa pagkakataong maaari silang makompromiso.

Dahil pinapahina nito ang anumang site gamit ang 'secure' na https protocol, ang banta ay T partikular sa mga serbisyo ng Bitcoin tulad ng mga wallet at palitan. Ngunit dahil sa tendensya ng mga awtoridad na huwag pansinin ang mga pagnanakaw ng Bitcoin o kawalan ng kakayahan na mabisang imbestigahan ang mga ito, maaari nitong iwan ang mga serbisyo ng Bitcoin na mas mahina kaysa sa 'tradisyonal' online na pinansyal o iba pang kritikal.

Subukan ang mga site ng iyong mga serbisyo

Dalubhasa sa seguridad ng Italya Filippo Valsorda binuo a pagsubok na nakabatay sa web na nagpapahintulot sa sinuman na magpasok ng hostname ng isang server upang makita kung ito ay apektado o hindi. Nag-post din siya ng open-source code para sa pagsubok sa GitHub.

Sa oras ng pagsulat, ang pagpasok ng mga pangunahing address ng serbisyo ng Bitcoin sa site ng Valsorda ay nagpakita na ang Blockchain, Coinbase at BitPay ay ligtas, ngunit ang pinakasikat na exchange sa mundo, ang Bitstamp, nanatiling mahina.

Si Valsorda rin ay higit na nag-aalala tungkol sa mga online na serbisyo ng Bitcoin kaysa sa anumang bagay na likas sa iba pang mga pagpapatupad, na nagsasabing ito ay "simpleng pagsamantalahan at hindi ganoon QUICK mag-patch".

"Napakahalagang sabihin sa lahat na suriin ang lahat ng kanilang mga server at i-update sa lalong madaling panahon [...] T ko halatang maging positibo tungkol dito, ngunit ang software na partikular sa bitcoin (mga lokal na wallet, ETC.) ay hindi dapat maapektuhan kahit na gumamit sila ng OpenSSL, dahil ang bug ay ma-trigger lamang sa mga live na koneksyon sa TLS."

"Gayunpaman, halos lahat ng bagay na kinakaharap ng publiko sa Bitcoin ecosystem ay (tama) secured sa TLS (isipin ang lahat ng mga web wallet, palitan ngunit pati na rin ang mga API at Mail server) at potensyal (malamang) apektado."

Nagmamadaling mag-patch ng software, paikutin ang mga sertipikasyon

Tinatayang higit sa 50% ng mga internet server ang gumagamit ng ilang anyo ng OpenSSL (at malamang na marami pa). Ang pag-iisip na higit sa kalahati ng sensitibong data ng internet ay maaaring nalantad sa loob ng dalawang taon ay nagpawis sa mga departamento ng seguridad.

Pinagsasamantalahan ang Heartbleed, maaaring ma-access ng isang attacker ang RAM ng mga apektadong system, na nagbibigay-daan sa kanila na makakita ng hanggang 64 kilobytes ng data sa isang pagkakataon – sapat na upang bumuo ng sapat na kaalaman upang ma-access ang mga Secret na key ng isang system. Ginagamit ang mga key na iyon para i-encrypt at i-decrypt ang sensitibong trapiko at tukuyin ang mga service provider.

Sa sandaling makuha ang mga Secret na susi, maaaring basahin ng mga umaatake ang anumang trapiko papunta at mula sa isang server nang hayagan o magpanggap na mga serbisyo at user.

Ang mga pag-atake sa isang mahinang sistema ay hindi nangangailangan ng man-in-the-middle na mga diskarte at walang iniiwan na bakas, na nag-iiwan sa mga sysadmin na walang tiyak na paraan upang malaman kung ang kanilang mga system ay nakompromiso.

Ang lawak ng potensyal na pinsala ay nag-iwan ng ilang pagkataranta:

Ang Heartbleed ay isang RARE bug: isang pagkabigo sa isang Crypto library na naglalabas ng data nang higit pa sa pinoprotektahan nito. Kaya mas masahol pa sa walang Crypto .





– matt blaze (@mattblaze) ika-8 ng Abril 2014

Mike Hearn

, developer at tagapangulo ng Komite ng Batas at Policy ng Bitcoin Foundation, na umaasa siyang magiging limitado ang epekto sa mga serbisyo ng Bitcoin , ngunit nabanggit na ang mga serbisyo ng Bitcoin ay T palaging gumagamit ng mga pinakamahusay na kasanayan para sa seguridad:

"Umaasa ako na magiging limitado ang epekto. Ang mga pangunahing site ay kailangang i-rotate ang kanilang mga SSL key pagkatapos mag-upgrade [...] Karamihan sa mga site ay dapat magkaroon ng mga pribadong key para sa kanilang mga wallet sa ibang proseso ng server kung saan ang data ay hindi maaaring makuha sa ganitong paraan. Gayunpaman, hindi ako magugulat kung ang ilang mga site ay hindi gumagana sa paraang ito para sa anumang dahilan at maaaring magdusa ng mga pagnanakaw."

Reaksyon ng mga kumpanya

Kasunod ng balita, maraming palitan ng Bitcoin at altcoin ang kinuha sa twitter upang mag-isyu ng mga opisyal na tugon at i-update ang mga user sa kanilang pag-unlad sa pagharap sa kapintasan.

#Bitstamp pinapatay nito ang accregistration, login at lahat ng virtual currency withdrawal function bilang pag-iingat kasunod ng kamakailang balita sa OpenSSL.





— Bitstamp (@Bitstamp) Abril 8, 2014

Sa isang pakikipanayam sa CoinDesk, ipinahayag ng Bitstamp CEO Nejc Kodrič na bagama't matagumpay na na-patch ng kumpanya ang mga server nito, ang DDoS mitigation provider nito, ang Incapsula, ay dapat gawin ang parehong upang matiyak ang buong seguridad.

Kaya naman, pinili ng palitan na manatili "sa ligtas na panig" at pansamantalang i-deactivate pagpaparehistro ng account, pag-log in sa account at lahat ng virtual currency withdrawal function.

Ang iba pang mga palitan ay naglabas na ng mga katulad na pahayag sa pamamagitan ng platform, kabilang ang Bitfinex - isang kamakailang karagdagan sa BPI ng CoinDesk.

Heartbleed bug naayos sa Bitfinex, ang mga withdrawal ay hindi pinagana sa ngayon hanggang sa matiyak naming ligtas ang lahat





— Bitfinex.com (@bitfinex) Abril 8, 2014

Samantala, ang mga platform tulad ng localbitcoins.com at Bitcurex ay nag-ulat ng higit na tagumpay:

Bumangon na naman kami, naayos na ang heartbleed bug. <a href="http://t.co/OwP9Ft1dE7">http:// T.co/OwP9Ft1dE7</a>





— LocalBitcoins.com (@LocalBitcoins) Abril 8, 2014

Ang Blockchain.info ay naglabas din ng isang pahayag sa pamamagitan ng website nito nagsasaad na ito na-upgrade na mga serbisyo noong isang linggo. Binigyang-diin din ng kumpanya na ang mga password ng wallet ay hindi kailanman ipinapadala sa server nito.

Idinagdag nito: "Magpapatuloy kami sa pagsisiyasat kung kinakailangan at bibigyan ka ng anumang kinakailangang mga update."

Paglabas ng pampublikong impormasyon

Ang balita ng pagkakaroon ng Heartbleed ay inilabas ng Finnish IT security consultancy Codenomicon, na nag-publish ng paglalarawan pagkatapos subukan ang pagsasamantala para sa sarili nito. Isang inhinyero ng Google Security, si Neel Mehta, ang nag-ulat nito sa OpenSSL team habang si Adam Langley at Bodo Moeller ay naghanda ng pag-aayos.

Ang pangalan ay nagmula sa pagkakaroon ng bug sa 'heartbeat' extension ng OpenSSL, at hindi kumakatawan sa anumang depekto sa SSL/TLS protocol mismo.

Sinabi ng Codenomicon na ang pagsasamantala ay 'madali' at matagumpay nitong inatake ang sarili nitong mga serbisyo, na nakakuha ng access sa mga Secret na susi para sa X.509 na mga sertipiko, mga user name at password, at iba pang 'negosyong kritikal' na komunikasyon.

Mga OpenSSL pagpapayo sa seguridad sinabi Heartbleed apektado 1.0.1 at 1.0.2-beta release ng software library, kabilang ang 1.0.1f at 1.0.2-beta1.

"Maaaring gamitin ang isang missing bounds check sa pangangasiwa ng TLS heartbeat extension upang ipakita ang hanggang 64k ng memory sa isang konektadong client o server," ang nabasa nito, na nagpapayo sa mga user na mag-upgrade kaagad o mag-alis ng mga heartbeat sa kanilang bersyon ng OpenSSL sa pamamagitan ng pag-recompile nito sa -DOPENSSL_NO_HEARTBEATS."

Ang kwentong ito ay co-authored ni Grace Caffyn.

Puso larawan sa pamamagitan ng Shutterstock