Ny alarm: OpenSSL bløder igen

Krypteringsprotokollen OpenSLL er under pres igen. Efter den katastrofale Heartbleed-sårbarhed er der fundet nye huller i OpenSLL-protokollen.

Så er den gal igen i krypteringsprotokollen OpenSLL, efter sikkerhedsmiseren Heartbleed tilbage i april.

Flere sårbarheder er blevet identificeret i forskellige versioner af OpenSLL, som nu har udsendt advarsler om blandt andet risici for man-in-the-middle-angreb, hvis både servere og klienter er inficerede af sårbarhederne.

Sikkerhedsselskabet CSIS Security Group fortæller i en informationsmail, at sårbarhederne ikke er i Heartbleed-klassen, men skal tages alvorligt under alle omstændigheder.

"Den formidlende omstændighed ved denne sårbarhed, som gør et angreb mindre sandsynligt end Heartbleed, er at både klient og server skal være sårbare på samme tid. Et bredspekteret angreb som Heartbleed er ikke isoleret set muligt," skriver CSIS i sin informationsmail.

Samtidig understreger sikkerhedsselskabet, at eksempelvis offentlige access points (AP) er oplagte mål for angreb.

"Man kan simulere at være et AP og dermed opsnappe kommunikation, som på trods af at være krypteret, kan eksponere brugernavne og passwords samt andet sensitivt data," lyder advarslen fra CSIS Security Group.

Sådan opstår problemerne
Problemerne med OpenSSL opstår, når det skal skabes forbindelse mellem server og klienter.

"SSL/TLS sessions initeres med et "ClientHello" og "ServerHello" handshake på begge sider. Disse indeholder forskellige data som er nødvendige for at oprette den krypterede, sikrede forbindelse og inkluderer blandt andet protokol version, encryption protokoler, encryption nøgler, Message Authentication Code (MAC) secret og Initializaton Vectors (IV)," beskriver CSIS.

Sikkerhedsselskabet forklarer, at ved at gøre brug af ChangeCipherSpec (CCS) er det muligt at ændre attributer, hvorved der opstår risiko for man-in-the-middle-angreb, da "ChangeCipherSpec"-standarden ikke overholdes.

"Sårbarheden kan således udnyttes ved at etablere et falsk AP og vente på en bruger anvender det. Dernæst vente på, at en ny TLS forbindelse oprettes efterfulgt af et ClientHello/ServerHello handshake.

Herefter kan der udstedes en CCS-pakke, som sendes i begge retninger, der får OpenSSL til at udstede en 0-længe premaster secret key," lyder forklaringen fra CSIS.

"Samtlige sessioner i den åbne OpenSSL session vil være påvirket af denne 0-længe master secret nøgle, hvilket gør at man kan genforhandle handshaket og dekryptere alt indhold og endda modificere pakker i transsit over linjen," fortsætter sikkerhedsselskabet sin forklaring i sin informationsmail.

Sårbarheden er blevet lappet, og CSIS anbefaler, at man følger anvisningerne på OPenSLL's hjemmeside, som du kan finde her.

Læs også:
Heartbleed-hackere har været forbi Danmark


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sikkerhed i virksomheden - Ballerup

Angrebene på it-sikkerheden bliver stadig mere målrettede og professionelle. Det sætter dig som sikkerhedsansvarlig i et krydspres mellem behovet for oplyste brugere, behovet for at etablere et forsvar og samtidig behovet for at overholde budgetterne. Kom og hør, hvordan du skaber større sikkerhed i din virksomhed.

05. oktober 2016 | Læs mere


Netværksvirtualisering, SSD og storage

Mange overvejer i dag at flytte hele eller dele af it-opgaverne ud i en cloud-løsning, mens andre opgaver - som regel de forretningskritiske - ofte bliver hjemme. Det gør det gode datacenter til en afgørende brik for enhver virksomhed. Kom og hør Danmarks bedste datacenter-leverandørers bud på fremtidens datahåndtering.

11. oktober 2016 | Læs mere


Sikkerhed i virksomheden

Angrebene på it-sikkerheden bliver stadig mere målrettede og professionelle. Det sætter dig som sikkerhedsansvarlig i et krydspres mellem behovet for oplyste brugere, behovet for at etablere et forsvar og samtidig behovet for at overholde budgetterne. Kom og hør, hvordan du skaber større sikkerhed i din virksomhed.

13. oktober 2016 | Læs mere






Computerworld
Test: Du kan roligt købe en iPhone 7 Plus - også selv om Apples designafdeling må være faldet i søvn
Der er ikke meget nyt design over iPhone 7-serien. Men lad dig ikke snyde, for iPhone 7 Plus er en top-telefon.
CIO
Er du klar? Sådan skal Windows 10 blive en lækkerbidsken for virksomhederne
Microsoft Ignite, Atlanta: Udrulningen af Windows 10 til private forbrugere er gået over stok og sten. Nu kommer turen til erhvervslivet, som Microsoft med en række tiltag forsøger at gøre interesseret i styresystemet. Og der er ingen vej uden om.
Comon
Tog blot 24 timer: Teenager hacker Apples nye iPhone 7
Apples iPhone 7 er mere sikker end nogensinde før, men alligevel har en 19-årig hacker haft held til at jailbreake telefonen. Det tog under et døgn.
Channelworld
Kæmpe-underskud: Elektronik-kæden Power har tabt 132 millioner kroner på et år
Varehus-kæden Power tabte 132 millioner kroner i 2015. Egenkapitalen er blæst helt væk. Nu venter store ekspansionsplaner imidlertid forude.
White paper
Intelligente forretningsprocesser
Læs her om de centrale egenskaber ved intelligente forretningsprocesser, deres fordele og hvordan du hæver dine egne forretningsprocessers IQ.