Heartbleed a fait bouillir une dizaine d'années de confiance dans les toilettes

Advertisement

Cette semaine a été rive du point de vue de la sécurité Internet. Un petit, mais dévastateur, défaut de sécurité a été découvert dans la bibliothèque OpenSSL - littéralement la mise en œuvre la plus omniprésente du monde du protocole SSL.

Le développement du protocole SSL au milieu des années 1990 lui-même a marqué un tournant dans l'évolution du World Wide Web. Il y a vingt ans, "le Web" était simplement un moyen de partager du contenu intéressant. Aujourd'hui, cependant, le Web est synonyme d'achat de produits, de paiement d'impôts, de transactions bancaires, et même d'utilisation d'une pléthore de services professionnels (ex. Applications SaaS) pour la réalisation de fonctions importantes telles que la gestion des relations clients, les ressources humaines, , Et la masse salariale entre autres choses.

Pour le Web d'il y a vingt ans de devenir le Web d'aujourd'hui, il était important de construire dans une couche de sécurité de sorte que les gens puissent effectuer des transactions en ligne en toute sécurité. Et le protocole SSL est devenue cette couche de sécurité de facto. Pour que les gens puissent transiger en toute confiance en ligne, ils devaient croire que SSL était sacro-saint. Ils devaient croire que les données confidentielles transmises sur SSL étaient protégées contre les regards indiscrets.

Le «Heartbleed» défaut, comme il a été nommé, a jeté une ombre sur ces croyances. La faille permet aux attaquants d'exfiltrer les données supposées confidentielles des serveurs Web sur Internet. Ces données pourraient inclure des mots de passe, des numéros de sécurité sociale, etc. Dans des cas extrêmes, il pourrait contenir des clés cryptographiques réelles utilisées par le serveur pour chiffrer et déchiffrer les données. Et avec ces clés proverbiales (et littéralement) pour le royaume, un attaquant pourrait obtenir carte blanche accès à tout ce que vous avez peut-être transmis dans le passé.

Note de la rédaction: Dans la vidéo ci-dessous, Ramzan explique comment Heartbleed fonctionne.

Le défaut Heartbleed est étonnamment simple, qui se prête heureusement à une solution facile. Étant donné que la lacune est maintenant connue du public, la prochaine étape à laquelle nous devons faire face est l'atténuation des dommages et le contrôle. Les opérateurs de site Web doivent mettre à niveau OpenSSL et jeter les clés cryptographiques précédentes en faveur de nouvelles.

Mais qu'est-ce que cela signifie pour vous individuellement?

La sagesse conventionnelle de changer tous vos mots de passe en ligne s'applique toujours. Toutefois, avant de le faire, assurez-vous que vous pouvez le faire en toute sécurité. Découvrez si les sites que vous visitez ont corrigé le problème Heartbleed à leur fin. Une façon de le faire est avec ce site de test de vulnérabilité Heartbleed. Entrez le nom de domaine du site que vous vous demandez, et si le testeur répond que le site semble sécuritaire, alors vous devriez être dans le clair.

C'est alors seulement que vous devez mettre à jour vos mots de passe.

En outre, parce que l'attaque aurait pu être effectuée pendant un certain temps sans connaissance préalable d'anyones, être vigilant sur la vérification des relevés de carte de crédit et de telles pour les transactions frauduleuses.

En fin de compte, le résultat le plus dommageable de Heartbleed est qu'il a ébranlé notre confiance dans le Web. Parce que les transactions en ligne sont une seconde nature aujourd'hui, il est facile d'oublier que sous tout cela est une série complexe d'interactions entre les ordinateurs effectuant des opérations très compliquées. Cette complexité peut conduire à la confusion - au point où une faille dévastatrice simple peut littéralement être caché à la vue.


Zulfikar est le directeur technologique d'Elastica. Dans ce rôle, il dirige les efforts d'Elastica dans l'utilisation de la science des données et des techniques d'apprentissage automatique pour améliorer la sécurité des services en nuage. Avant de se joindre à Elastica, Zulfikar était Chief Scientist chez Sourcefire (acquis par Cisco), au sein de leur groupe de technologie cloud. Il est titulaire d'un Ph.D. En génie électrique et en informatique du Massachusetts Institute of Technology, avec un travail de thèse en cryptographie.

Articles Liés

  • Heartbleed a fait bouillir une dizaine d'années de confiance dans les toilettes

    Que faire à propos de Heartbleed, un trou béant de sécurité affectant 66 pour cent de l'Internet (au moins)
  • Heartbleed a fait bouillir une dizaine d'années de confiance dans les toilettes

    Une autre vulnérabilité iOS 7 pourrait permettre à un keylogger sur des périphériques non jailbreakés
  • Heartbleed a fait bouillir une dizaine d'années de confiance dans les toilettes

    Cyber ​​soothsaying: Les logiciels malveillants mobiles seront une menace très réelle
  • Heartbleed a fait bouillir une dizaine d'années de confiance dans les toilettes

    Elastica lance avec 6,3 M $ pour détecter les failles de sécurité dans tous vos logiciels de cloud computing

Heartbleed a fait bouillir une dizaine d'années de confiance dans les toilettes