専門家は言う Heartbleed OpenSSL のバグ データを保護することを目的としたネットワーク ソフトウェアの欠陥により、実際には、ハッカーが保護すべきデータそのものを盗むことができた可能性があります。 OpenSSL のこの不明瞭なバグが何であれ、安全だと思いますか? もう一度考えて。 ある専門家は、「ほぼ全員」がそれを使用していると指摘しました。
「世界のウェブサーバーの半分以上が Apache を使用し、Apache が OpenSSL を使用していることを考えると、大多数の人は アプリケーションは定期的に OpenSSL 上に構築されます」とクラウド サービス会社のチーフ アーキテクトである Steve Pate 氏は説明します。 ハイトラスト。
おすすめ動画
ハートブリードバグ OpenSSLで発見されたセキュリティホールです、多くの人気のある Web サイトに入力した機密データを暗号化する、広く使用されているネットワーク ソフトウェアです。 この欠陥により、ハッカーは世界中のサーバーのメモリ チップから直接データを盗むことができ、約 2 年間存在していました。 人気のマルウェア対策ソフトウェアを開発している Malwarebytes の上級セキュリティ研究員である Jean Taggart 氏は、これは犯罪者が目に見えずにデータを一掃する簡単な方法であると説明しています。
もっと: ハートブリードバグとは何ですか?
「この脆弱性により、サイバー犯罪者は秘密暗号キーなどの非常に機密性の高い情報を収集する手段を得ることができます。 攻撃者がハートブリードの脆弱性を通じて秘密鍵を抽出した場合、被害者になりすまして、検出不可能な中間者攻撃を仕掛けることができます」とタガート氏は述べた。
ペイト氏によると、OpenSSL には攻撃に対して脆弱だった歴史があり、最初の欠陥は 2009 年 5 月に HyTrust によって発見されました。 ただし、Pate 氏は、OpenSSL 1.0.1 と 1.0.2 ベータ版にはすでに Heartbleed のバグ修正が提供されているものの、 影響を受けるバージョンが使用されている場合、このエクスプロイトはハッカーによって機密情報をスワイプするためにすでに使用されている可能性があります。 データ。
タガート氏はまた、セキュリティ上の欠陥を根絶するのは簡単な作業ではないと説明した。
「このバグを修正するのは簡単ではありません。なぜなら、セキュリティ専門家がアップグレードを展開できても、これは困難で時間のかかる作業であるため、証明書をリセットしない人が多いからです。 したがって、バグが発表される前に侵害された場合、秘密鍵はすでに公開されている可能性があります。 敵の手に渡り、その暗号化通信が第三者によって傍受される可能性があります。 パーティー。」
もっと: どの Web サイトが Heartbleed バグの影響を受けますか?
Nathaniel Couper-Noles 氏、主任セキュリティ コンサルタント 警備会社 ネオハプシス氏は、ハートブリードに対抗するための回避策や修正はあるものの、「馬はすでに納屋から出ているかもしれない」と述べた。
「多くの組織は、脆弱性があるかどうか、またどこに脆弱性があるかを特定する手段を備えていないため、攻撃によって何も残らない可能性があります。 フットプリントは正規のトラフィックから識別でき、その影響は長期にわたる可能性があります。」 言った。 その上で、Couper-Noles 氏は、世界中の企業全体で「影響を受けるシステムが数百、数千ある可能性がある」と指摘しました。
この時点で、 パスワードを変更する これは、Heartbleed バグから身を守るために実行できる最善の行動です。 その上に、 このサイトのリストにある Web ページを避ける OpenSSL の欠陥の影響を受けるとされるものも強く推奨されます。
画像クレジット: http://www.wallpaperzzz.com
編集者のおすすめ
- ChatGPT 作成者が現金報酬を伴うバグ報奨金プログラムを開始
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
