<<< Truecrypt?Antivirus: Halott vagy csak pihen? >>>

Egyre több és több durva biztonsági hibára bukkannak SSL implementációkban. Lássuk csak, mikre derült fény az utóbbi időben:

  1. A láncot az Apple termékek (iOS és OSX) "gotofail" nevű hibája indította el (amiről itt írtam). Itt a tanúsítványok ellenőrzése során fordult elő egy malőr, a termékek érvénytelen tanúsítványokat is elfogadtak. Talán ezt követően kezdték el szúrós szemmel vizsgálni a többi kripto-könyvtárt is.

  2. A GNUTLS-ben is jelent meg SSL-tanúsítvány ellenőrzése során elkövetett hiba, bár ez nevet nem kapott. /Nagy kár, hogy a Buherátor abbahagyta a blogját.. ;(/

    • Több tanúsítvány-ellenőrzési baki is merült fel már a GNUTLS-ben az idén a honlapjuk szerint.
  3. Legnagyobb port talán az OpenSSL heartbleed hibája verte fel. Itt a támadó dumpolhatta az SSL szerver (esetleg kliens) memóriáját, így akár az SSL tanúsítvány magánkulcsához is hozzáférhetett. A patchelésen túl, szinte minden, openSSL-t használó webszerver tanúsítványát is cserélni kellett. (Itt írtam róla.)

    • LibReSSL néven az OpenBSD csapat indított egy OpenSSL-forkot, amelyben átnézik, megerősítik azt. Itt érhető el egy hangulatos prezentáció arról, hogy miket találtak az OpenSSL mélyén. (Megjegyzem, más forráskódját zúzni mindig könnyű dolog; biztonságos, és egyúttal használható dolgot alkotni nehéz. (Igaz, az OpenBSD csapat tett le ezt-azt az asztalra e téren.))
  4. Kijött egy buffer overflow hiba a GNUTLS-ben, amellyel bénítani lehet a szervert, és esetleg kódot is lehet futtatni rajta.

  5. Újabb OpenSSL hiba (CSS injection, ennél hangulatosabb elnevezést nem kapott), amely lehetővé teszi, hogy a közbeékelődő (man-in-the-middle) támadó lehallgassa a kapcsolatot.

Bruce Schneier a Heartbleed után azt írta: igen, lesz még hasonló. Lett is, lesz is még, derülnek még ki durva hibák (és e bejegyzést igyekszem majd frissíteni velük). Ez a terület most nagy figyelmet kapott, sokan árgus szemekkel figyelik az SSL implementációkat.

Ettől lesznek biztonságosabbak a rendszerek.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.