ビデオ: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
SSL(Secure Sockets Layerの略)は、SをHTTPSに入れるものです。 知識のあるユーザーは、Webサイトに機密情報を入力する前に、アドレスバーでHTTPSを探すことを知っています。 SecurityWatchは、SSLを使用せずに個人データを送信する懲戒Androidアプリを頻繁に投稿しています。 残念ながら、最近発見された「ハートブリード」バグにより、攻撃者はSSLで保護された通信を傍受できます。
このバグは、ハートビートと呼ばれる機能に便乗し、広く使用されているOpenSSL暗号化ライブラリの特定のバージョンに影響するため、Heartbleedと呼ばれます。 Heartbleedについてレポートするために作成されたWebサイトによると、OpenSSLを使用する2つの最大のオープンソースWebサーバーの合計市場シェアは66%以上です。 OpenSSLは、電子メール、チャットサーバー、VPN、および「さまざまなクライアントソフトウェア」を保護するためにも使用されます。 それはあちこちにあります。
悪い、本当に悪い
このバグを悪用する攻撃者は、重要な暗号化キーなど、影響を受けるサーバーのメモリに保存されているデータを読み取ることができます。 ユーザーの名前とパスワード、および暗号化されたコンテンツの全体もキャプチャできます。 サイトによると、「これにより、攻撃者は通信を盗聴し、サービスとユーザーから直接データを盗み、サービスとユーザーになりすますことができます。」
このサイトはさらに、秘密鍵をキャプチャすることで、「攻撃者は保護されたサービスへの過去および将来のトラフィックを解読できるようになる」と指摘しています。 唯一の解決策は、OpenSSLの最新バージョンに更新し、盗まれたキーを取り消し、新しいキーを発行することです。 それでも、攻撃者が過去に暗号化されたトラフィックを傍受して保存した場合、キャプチャされたキーはそれを解読します。
何ができるか
このバグは、Codenomiconの研究者ペアとGoogleセキュリティ研究者という2つの異なるグループによって独立して発見されました。 彼らの強い提案は、OpenSSLがハートビート機能を完全に無効にするバージョンをリリースすることです。 この新しいエディションのリリースにより、ハートビート信号に応答するだけで脆弱なインストールが検出され、「脆弱なサービスの所有者に到達するための大規模な協調応答」が可能になりました。
セキュリティコミュニティはこの問題を深刻に受け止めています。 たとえば、US-CERT(米国コンピューター緊急事態対応チーム)Webサイトでメモを見つけることができます。 ここで独自のサーバーをテストして、脆弱かどうかを確認できます。
悲しいかな、この物語にハッピーエンドはありません。 この攻撃は痕跡を残さないため、Webサイトが問題を修正した後でも、詐欺師が個人データを盗んだかどうかはわかりません。 HeartbleedのWebサイトによると、IPS(侵入防止システム)が通常の暗号化されたトラフィックと攻撃を区別することは困難です。 この話がどのように終わるかわかりません。 伝えたいことがあれば報告します。