Heartbleed

Heartbleed Bug-a OpenSSL software kriptografikoko liburutegiko ahulezi larria da. Ahulezi honek SSL/TLS enkriptazioa duten datuak lapurtzea ahalbidetzen du. SSL/TLS enkriptazioak Interneteko hainbat zerbitzutan erabiltzen da izan ere Web, E-Mail, berehalako mezularitza eta sare birtual pribatuetan (Virtual Private Network, VPN).

Heartbleed Bug-ak ahuleziak dituen OpenSSL softwarea erabiltzen duten sistemetako memoria irakurtzea ahalbideratzen du. Honek sistema horretako izen eta pasahitzak, bertan sartuta dagoen informazioa, datuen trafikoa erabiltzen den enkriptazioa eta zerbitzua ematen dutenen kautotzeko gako sekretua arriskuan jartzen du. Honek erasotzaileei komunikazioak entzutea, datuak lapurtzea eta erabilzaile zein zerbitzutzat aurkeztea ahalbideratzen du.

Historia[aldatu | aldatu iturburu kodea]

Lehen Agerpena[aldatu | aldatu iturburu kodea]

Hasiera batean, Heartbeat extentsioa proposatu zen 2012-ko otsailean Transport Layer Security(TLS) eta Datagram Transport Layer Security(DTLS) protokoloei lagundu ahal izateko. Honek komunikazio lotura bat bizirik irauteari laguntzen dio, konexioa behin eta berriro sortzea ekiditzeko. Inor ez zen konturatu bug hori bertan agertzen zela, nahiz eta extentzio hau Stephen N. Henson, OpenSSL-ko nukleoa garatu zutenetako bat izanda, berrikusita. Horrela Hearbeat extentzioa OpenSSL-en inplementatu zen.

Heartbleed bug ahulezia OpenSSL 1.0.1 eta 1.0.1f bertsioekin agertu zen, 2012-ko martxoaren 14ean eta Internet-eko bi hereneri eragin dio.

Aurkipena[aldatu | aldatu iturburu kodea]

2014-eko Martxoaren 21-ean aurkitu zuten Google-eko segurtasun zerbitzuek. Hau jarraituz, Google-eko ingieniariak, OpenSSL taldeareari errore honetaz mezu bat bidali zieten

Bug honen izena Codenomicon izeneko ziber-segurtasun enpresa bateko ingenieri batek sortu zuen, eta errorea erreportatu zuten CERT-FI erakundeari, horrezgain Heartbleed.com domeinua sortu zuten, bug hori publikoari azaltzeko.

Konponketa[aldatu | aldatu iturburu kodea]

Nahiz eta Google-ek eta CloudFare-k arazoa konpondua izan, OpenSSL-k ez zuen bere bertsio berria, 1.0.1g bertsioa, Apirilaren 7-arte atera. Bertsio hau izango zen HeartBleed arazoa konponduko zuen lehen bertsioa.

Maiatzaren 8-an, oraindik 318,000 zerbitzari publiko izan zuten Heartbleed arazoa.

Arazoaren Ustiatzea[aldatu | aldatu iturburu kodea]

Errore honek interneteko hainbat ate ireki zituen, eta horrek hamaika eraso sortu zituen internet bidez. Ustiapena bai ziberkriminalak zein anti-malware ikertzaileek erabili zuten, ezkutuko foroei erasotzeko.

2014-eko Apirilean, J. Alex Hardeman, Michingan-eko irakasle batek, honeypot zerbitzari bat (hau da, ahuleziekin sortutako gaitzusteko zerbitzari bat) sortu eta gero, Txina-tik egindako erasoak ageri zitzaion.

Hau dela eta, Webgune askok partxeatu zuten beraien zerbitzariak, baina ez dago argi ea erasotzaileak aurrez aurre zekiten edota zein datu lapurtu ziren.

Bloomberg News-en arabera, izen gabeko bi erakundek EEBB-etako NSA-ri (National Security Agency) berri eman zioten bug honi buruz, baina hauek ez zuten konponbiderik sortu, beraiek ustiatzeko asmoarekin. NSA-k berri hau ezeztatu du.

Portaera[aldatu | aldatu iturburu kodea]

Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension-ek protokolo berri bat sortzen du TLS/DTLS protokoloentzat, konexioa bizirik irauteko funtzionalitate berria erabliz, honek birnegoziazioa ekiditzen du eta DTLS-ren MTU path-aren aurkibidearentzako oinarriea jartzen du.

Ordenagailu batek besteari "Heartbeat request" bat eskatzen dio besteari TLS/DTLS bidez. Hau karga batez osatzen da, string bat normalean, eta karga horren ondoan karga horren tamaina adierazten da 16-biteko zenbaki oso baten moduan. OpenSSL eko bertsio ahulak buffer memoria bat esleitzen diote bidaliko den mezuari, jasotako mezuaren benetako tamaina kontuan izan gabe. Aztertze errore hau dela eta, itzultzen den mezua karga batez gain, atzetik memoria buffer-ear dagoen beste edozein mezu bidaltzen dio.

Konpontzeko pausuak[aldatu | aldatu iturburu kodea]

Sistema administratzaileen aldetik,arazo hau konpontzeko neurriak honek izan ziren:

- OpenSSL partxe berri bat ezarri edota arazo hau izandako beste bertsio batera pasatzea. Segurtasun ziurtagiria berregin (ziurtagiria arriskuan izandako kasuan) eta aurretiko ziurtagiria deuseztatu.

Erabiltzaileen aldez:

-Erasotutako webguneetan ez sartzeko aholkua eman zaien, arazoa konponduta izan arte. Gero, webgune haietako pasahitza birsortzea gomendatu zaien, datuak arriskuan jartzea ekiditzeko.

Kanpo estekak[aldatu | aldatu iturburu kodea]