Ενδεχομένως να προσέξατε ότι η ομάδα του OpenSSL ανακοίνωσε πριν από κάποιες μέρες, και πιο συγκεκριμένα στις 6 Ιουλίου 2015, ότι θα διέθετε στους χρήστες μία κρίσιμης σημασίας ενημέρωση για την πλατφόρμα. Η ενημέρωση, πράγματι, διατέθηκε στις 9 Ιουλίου 2015 και αντιμετώπιζε ένα bug με την ονομασία OpenSSL CVE-2015-1793 (Certificate Verification).
Ευτυχώς, το bug δεν είχε τόσο μεγάλες επιπτώσεις όσες νόμιζαν τουλάχιστον κάποιοι σε θέματα ασφαλείας. Παρόλα αυτά ήταν ένα κρίσιμης σημασίας bug. Εκμεταλλευόμενοι το πρόβλημα, κάποιοι απατεώνες θα μπορούσαν να σας παρασύρουν ή να σας ανακατευθύνουν σε μία ψευδή ή μολυσμένη ιστοσελίδα (ή σε κάποιον email server ή σε οποιαδήποτε υπηρεσία Internet που χρησιμοποιεί TLS/ SSL για την ασφάλεια) και να σας κάνουν με ένα τέχνασμα να νομίζετε ότι έχετε βρεθεί κάπου νόμιμα και με ασφάλεια. Όπως ενδεχομένως θα γνωρίζετε, τα TLS/ SSL βασίζονται σε μία “αλυσίδα εμπιστοσύνης” που έχει σχηματιστεί με κρυπτογραφικά πιστοποιητικά. Αυτή η αλυσίδα των πιστοποιητικών σας διαβεβαιώνει ότι ο δικτυακός τόπος που επισκέπτεστε ανήκει πραγματικά στην εταιρεία ή στον οργανισμό που περιμένατε.
Με το τελευταίο bug στο OpenSSL όμως, ένας απατεώνας θα μπορούσε να είναι σε θέση να δημιουργήσει ένα πιστοποιητικό χρησιμοποιώντας την ονομασία κάποιου άλλου, και στην συνέχεια θα μπορούσε να ξεγελάσει την διαδικασία επαλήθευσης του πιστοποιητικού χωρίς να ενεργοποιήσει κάποια προειδοποίηση, ακόμα και αν το πιστοποιητικό δεν είχε την υπογραφή κάποιου έμπιστου CA. Κάτι τέτοιο κάνει εφικτή μία επίθεση man-in-the-middle (MITM) όπου ένας απατεώνας μπορεί να είναι σε θέση να παρακολουθεί την κίνηση δεδομένων, για παράδειγμα σε μία ιστοσελίδα κοινωνικής δικτύωσης, και στην συνέχεια να σας τροφοδοτήσει με μία ψεύτικη σελίδα login με ένα ψεύτικο πιστοποιητικό HTTPS, και ακολούθως να σας πείσει να δώσετε τον κωδικό πρόσβασης σας, επειδή πολύ απλά οι διάφορες προειδοποιήσεις που θα έπρεπε να εμφανιστούν για να αποφευχθεί η απάτη phishing δεν θα εμφανίζονταν ποτέ. Αν και οι κίνδυνοι παραμένουν μεγάλοι, εντούτοις το συγκεκριμένο bug δεν δίνει στους κυβερνοεγκληματίες την δυνατότητα να κλέψουν δεδομένα ή να εισβάλουν στους διακομιστές σας απευθείας.
Τι γίνεται τώρα με τα προϊόντα της Sophos; Τα καλά νέα είναι ότι τα προϊόντα της Sophos δεν επηρεάζονται και δεν βρίσκονται σε κίνδυνο εξαιτίας του συγκεκριμένου bug. Μόνο μία pre-release Beta έκδοση του Sophos Management Communication System (MCS 3.0.0 Beta), ένα στοιχείο που χρησιμοποιείται από τα προϊόντα Sophos Cloud και UTM Endpoint περιλαμβάνει μία προβληματική έκδοση του OpenSSL. Παρόλα αυτά, το Management Communication System δεν περιλαμβάνει το συγκεκριμένο τμήμα του κώδικα του OpenSSL που αφορά στην επαλήθευση πιστοποιητικού, οπότε δεν επηρεάζεται από το σχετικό σφάλμα. Παρόλα αυτά, στα μέσα Αυγούστου, αναμένεται η ενημέρωση του MCS 3 Beta με την τελευταία έκδοση του OpenSSL. Σε όλες τις άλλες οικογένειες προϊόντων της Sophos δεν χρησιμοποιείται το OpenSSL ή όταν χρησιμοποιείται, δεν πρόκειται για κάποια έκδοση του λογισμικού που επηρεάζεται από το bug.
Για περισσότερες πληροφορίες για το bug μπορείτε να επισκεφτείτε τις ιστοσελίδες μας παρακάτω.
Μάθετε περισσότερα για το OpenSSL CVE-2015-1793 (Naked Security)
Δείτε τις τελευταίες πληροφορίες υποστήριξης της Sophos (KBA)
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.