Was ist der OpenSSL Heartbleed Bug und warum sollten Sie sich kümmern?
Als normaler Internetnutzer erwarten Sie, dass der Hintergrund des Internets einfach funktioniert . Alles, was hinter den Kulissen passiert, all die Verschlüsselung, all die Handshakes und jede kleine Transaktion sollten Ihnen eine sichere Möglichkeit bieten, online zu kommunizieren und Geschäfte zu machen, ohne sich um Hacker kümmern zu müssen, die bei jedem Ihrer Schritte herumlaufen. Leider funktioniert das Internet nicht so, und der OpenSSL "Heartbleed" Bug ist der endgültige Beweis dafür. Es gibt einige Dinge, die Sie über diesen Fehler wissen sollten, da er Ihnen wahrscheinlich mehr bedeutet als Sie denken.
Was ist OpenSSL ?!
OK, also habe ich OpenSSL zweimal erwähnt und Ihnen nicht einmal erklärt. Siehst du das kleine Schloss-Symbol neben dem " https: // " in deinem Browser, wenn du "sichere" Seiten eingibst? Im Google Chrome-Webbrowser sieht es ungefähr so aus:
Wenn Sie das sehen, verwenden Sie eine spezielle Form der Verschlüsselung, die als Secure Socket Layer (SSL) oder Transport Layer Security (TLS) bezeichnet wird. Um Dienste mit dieser Verschlüsselung bereitzustellen, benötigen Sie einen Algorithmus, der die Verschlüsselung / Entschlüsselung für die Pakete bereitstellt, die Sie mit dem Server austauschen. Dies bedeutet, dass sie eine Möglichkeit haben müssen, Ihren Text in unlesbares Kauderwelsch zu übersetzen und ihn dann davon in die lesbare Form an ihrem eigenen Ende zu übersetzen. Wenn ein Hacker es irgendwie schafft, Ihre Verbindung mit dem Server zu stören, wird er mit dieser Technologie nur eine lange Reihe von Geplapper lesen.
Nun kommen wir zum Teil (endlich), wo wir erklären, was OpenSSL ist: Es ist eine freie und Open-Source-Implementierung von SSL / TLS-Protokollen. Mit dieser Technologie kann jeder Ihnen verschlüsselte Dienste anbieten. Viele Unternehmen, mit denen Sie Konten haben, verwenden möglicherweise OpenSSL, um Ihre Daten zu verschlüsseln.
Was aber, wenn OpenSSL einen Fehler hat, der den Zweck der Verschlüsselung komplett zunichte macht?
Der Fehler erklärt
Am 10. April 2014 haben die Mitarbeiter von PerfectCloud, einem Unternehmen für Identitätssicherheit, von einem massiven Fehler in der OpenSSL-Programmierung berichtet, der als Heartbleed-Bug bekannt ist. Seit zwei Jahren haben wir keine neue Version von OpenSSL gesehen, und während dieser Zeit hatte es ein Problem in seinem Code, der etwas Serverspeicher freilegte. Dieser Speicherabschnitt kann die privaten Schlüssel enthalten, die zum Verschlüsseln / Entschlüsseln von Daten verwendet werden. Autsch!
Dies bedeutet, dass ein Hacker die kryptografischen Schlüssel des Servers entdecken und einfach alles entschlüsseln kann, das Sie ihm senden, einschließlich Ihres Benutzernamens, Ihres Passworts und alles, was Ihnen wichtig und teuer ist.
Der Fehler wurde am 7. April 2014 behoben, aber das bedeutet nicht, dass alle mit einem Update auf ihre OpenSSL-Implementierungen durchgearbeitet sind. Große Internetfirmen wie Amazon und Yahoo haben sich um das Problem gekümmert, aber das heißt noch lange nicht, dass Sie im klaren sind! Ein Hacker könnte Ihren Benutzernamen und Ihr Passwort auf einer Liste haben, die Sie jetzt verwenden können, um auf andere Konten zuzugreifen, die Sie möglicherweise woanders haben.
Was sollte man tun?
Selbst wenn ein Unternehmen auf die neueste OpenSSL-Implementierung aktualisiert, besteht für Sie weiterhin ein Risiko für frühere Expositionen. Wenn es jedoch weitere Hackerversuche gibt, werden sie nicht erfolgreich sein. In dieser Situation können Sie Ihr Passwort überall ändern. Lass es nicht warten. Ändern Sie einfach alles, damit Sie vorbereitet sind, wenn ein Hacker sich jemals entscheidet, Ihre Konten auszuprobieren.
Irgendwelche weiteren Gedanken?
Dieser Bug zeigt einfach, wie zart und verwoben das Internet ist. Trotz seines boomenden Sicherheitsbewusstseins und seiner unkontrollierten Großartigkeit ist das Internet immer noch das Internet, und es wird immer belagert werden. Welche Empfehlungen haben Sie für Unternehmen, die OpenSSL verwenden? Wie hat sich Ihr Verständnis von Sicherheitssystemen verändert? Bist du über etwas verwirrt? Veröffentlichen Sie Ihre Gedanken zu OpenSSL im Bereich Kommentare!