비디오: ASP.NET Core 3 - IdentityServer4 - Ep.18 Sign Out & Certificates (십월 2024)
SSL (Secure Sockets Layer)의 약자 인 S는 HTTPS에 있습니다. 정통한 사용자는 웹 사이트에 중요한 정보를 입력하기 전에 주소 표시 줄에서 HTTPS를 찾는 것을 알고 있습니다. SecurityWatch 게시물은 SSL을 사용하지 않고 개인 데이터를 전송하는 Android 앱을 자주 추적합니다. 최근에 발견 된 "Heartbleed"버그로 인해 공격자는 SSL로 보호 된 통신을 가로 챌 수 있습니다.
이 버그는 하트 비트라는 기능을 피기 백하기 때문에 Heartbleed라고하며 널리 사용되는 OpenSSL 암호화 라이브러리의 특정 버전에 영향을줍니다. Heartbleed에 대한 보고서를 작성하기 위해 작성된 웹 사이트에 따르면 OpenSSL을 사용하는 가장 큰 오픈 소스 웹 서버의 시장 점유율은 66 % 이상입니다. OpenSSL은 또한 이메일, 채팅 서버, VPN 및 "다양한 클라이언트 소프트웨어"를 보호하는 데 사용됩니다. 여기 저기 있습니다.
나쁘다, 정말로 나쁘다
이 버그를 이용하는 공격자는 중요한 암호화 키를 포함하여 영향을받는 서버의 메모리에 저장된 데이터를 읽을 수 있습니다. 사용자의 이름과 비밀번호 및 암호화 된 컨텐츠의 전체도 캡처 할 수 있습니다. 이 사이트에 따르면 "공격자들은 통신을 도청하고 서비스와 사용자로부터 직접 데이터를 훔치고 서비스와 사용자를 사칭 할 수있다"고한다.
이 사이트는 비밀 키를 캡처하면 "공격자가 과거 및 미래의 모든 트래픽을 보호 된 서비스로 해독 할 수 있습니다." 유일한 해결책은 최신 버전의 OpenSSL로 업데이트하고 도난당한 키를 취소하고 새 키를 발행하는 것입니다. 그럼에도 불구하고 공격자가 과거에 암호화 된 트래픽을 가로 채서 저장 한 경우 캡처 된 키는이를 해독합니다.
할 수있는 것
이 버그는 Codenomicon의 연구원과 Google 보안 연구원의 두 그룹이 독립적으로 발견했습니다. 그들의 강력한 제안은 OpenSSL이 하트 비트 기능을 완전히 비활성화하는 버전을 릴리스한다는 것입니다. 이 새 버전이 출시되면 하트 비트 신호에만 응답하기 때문에 "취약한 서비스 소유자에게 도달 할 수있는 대규모 조정 된 응답"을 제공하므로 취약한 설치를 감지 할 수 있습니다.
보안 커뮤니티는이 문제를 심각하게 다루고 있습니다. 예를 들어 US-CERT (United States Computer Emergency Readiness Team) 웹 사이트에서 이에 대한 메모를 찾을 수 있습니다. 여기에서 자체 서버를 테스트하여 취약한 지 확인할 수 있습니다.
아아, 이 이야기로 끝나는 것이 행복하지 않습니다. 이 공격은 흔적을 남기지 않으므로 웹 사이트에서 문제를 해결 한 후에도 사기꾼이 개인 데이터를 도청했는지 여부는 알 수 없습니다. Heartbleed 웹 사이트에 따르면 IPS (Intrusion Prevention System)가 공격을 일반 암호화 된 트래픽과 구별하는 것이 어려울 수 있습니다. 나는이 이야기가 어떻게 끝나는 지 모른다. 더 말할 것이 있으면 다시보고하겠습니다.
