ネットワークセキュリティに亀裂 ソースコードの暗号化システム2011年以来、ホストされている障害はOpensSSL万人インターネット脆弱なパスワードに変換 L. MARTINEZ RIVAS/ R CANO JIMENEZマドリード9 ABR 2014 - 22時08 CET

EL PIS

ネットワークセキュリティに亀裂
ソースコードの暗号化システム2011年以来、ホストされている障害はOpensSSL万人インターネット脆弱なパスワードに変換
L. MARTINEZ RIVAS/ R CANO JIMENEZマドリード9 ABR 2014 - 22時08 CET

Una grieta en la seguridad de la Red
Un fallo alojado desde 2011 en el código fuente del sistema de cifrado OpensSSL convierte las contraseñas de millones de internautas en vulnerables
L. RIVAS MARTÍNEZ / R. JIMÉNEZ CANO Madrid 9 ABR 2014 - 22:08 CET

++++++++++++++++++++++++++++++++++++++++

A crack in the network security
A failure hosted since 2011 in the source code encryption system converts OpensSSL million Internet passwords vulnerable
L. MARTINEZ RIVAS / R. CANO JIMENEZ Madrid 9 ABR 2014 - 22:08 CET

An error in one of the main programs used on the Internet secure connection has been potentially exposed to millions of users for two years . On Monday, Google released a weak point in the system that uses encryption for secure connections , called OpenSSL , which has affected giants like Yahoo and Amazon . This crack , existing since 2011 and discovered in December 2013 by a Google engineer , could have allowed hackers to steal user passwords .
The problem affects secure connections , which begin with " https" and appear in the address bar when the user enters sensitive data , usually passwords. The ruling has been baptized in English Heartbleed , or " bleeding heart " because it affects a type of information exchange in web , the Heartbeat ( heartbeat ) .
The security hole is in the source code ( the building blocks that make up a computer program ) versions 1.0.1 to OpenSSL 1.0.1f . There is already a new version ready for download that corrects the fault : the 1.0.1g . Visitors of the pages that use this code would have been potentially vulnerable since 2011 . And if someone had accessed confidential information , would have left traces . But experts call for calm because there is no reason to suppose that security has been violated since.
Open SSL is a security system used by some major web world , and " between 50% and 70% " of servers as Igor Unanue , technician S21SEC security company . Ricardo Galli , founder of Digg , downgrades affected servers to 500,000. It is free and works as a web tool used to encrypt the information exchanged with individual users , so that this can not be stolen by third parties.

    Open SSL is an open source program . That is, any programmer can allegedly involved in the writing of their DNA , but that does not mean that one could alter at will as Wikipedia articles .
They use it from Yahoo , Google , Facebook or Amazon , to the Steam games platform , via the Tor software secure connection . Potentially there could be left without coverage available to millions of users store their data bank card payment pages , or using e -mail or instant messages.
Failure may even affect who you connect to your Internet bank account , when using this method of encryption (there are others) , but remember that entities Unanue always use additional security systems , independent of password encryption . La Caixa said yesterday that their servers use a version of Open SSL that has not been affected.
A Yahoo spokeswoman said yesterday that the company has fixed the problem on their websites Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, the photo site Flickr and Tumblr blog , and are working to correct the error in the rest of their webs. Google published the vulnerability has affected users of Search, Gmail , YouTube, Wallet ( which is used to make payments ) , Play ( Android application download ) , Apps and App Engine ( where developers upload their apps ) and has also corrected the bug .
Those affected are larger patching ( slang for code fixes ) the error, but the scope is still unknown. The arrangement was made by Adam Langley engineer in developing the Chrome Browser, Google , and Bodo Möller , German expert on PGP encryption, which works for ACM , a software company dedicated to the dissemination The discovery of the problem was carried out in parallel by a Google engineer Neel Mehta and called Codenomicon , a Finnish company.
The vulnerability could have affected about 600 of the 10,000 pages with more network traffic , according to an expert cited by the company Qualys Associated Press. That means "millions" of users whose information has been potentially exposed , says Chema Alonso, security expert and consultant 64 Informatics , Spanish company whose safety has also been affected ( and has already fixed the problem ) .
How does Fault works ? Open SSL is an open source program . That is, any programmer can allegedly involved in the writing of their DNA , but that does not mean that one could alter at will as Wikipedia articles . Roberto Velasco , co-founder of the software company Basque Arima and security HdIV explains the " normal procedure " in writing open source . " Source code repositories are used on the Internet. The most widely used is called Github and used to store projects. Each project has a board that control the quality of the code. The user can send pieces of code to make changes , and if the administrator accepted, included in the final source code. "
And a bug in the code can create a vulnerability. " One thing is the bug , ie , the fault in the code, and another is the exploit , how to take advantage of the failure ," explains Alonso. There are websites where you can get exploits, allowing programs to take advantage of security cracks . But "no incidents yet known ," says Unanue calmly . You mean you do not know of any offender who has exploited to obtain user information.
This does not necessarily mean that open programs more prone to these failures . By its nature, there is a detailed analysis of the changes that can be drawn when the error was introduced history ; But locating the person responsible is more complicated, since usually the developer does not use his name and might not even your IP address ( the electronic "signature " ) real. Whoever it may be, the fault has cracked internet security .

 ネットワークセキュリティに亀裂
ソースコードの暗号化システム2011年以来、ホストされている障害はOpensSSL万人インターネット脆弱なパスワードに変換
L. MARTINEZ RIVAS/ R CANO JIMENEZマドリード9 ABR 2014 - 22時08 CET

 インターネットの安全な接続に使用される主要なプログラムの1の誤差は、潜在的に2年間、何百万ものユーザーにさらされています。月曜日に、 Googleは、 YahooやAmazonのような巨人に影響を与えているのOpenSSLと呼ばれる安全な接続のために暗号化を使用し、システム内の弱点を、リリースしました。この亀裂は、 2011年とGoogleのエンジニアによって2013年12月に発見されことから、既存の、ハッカーがユーザーのパスワードを盗むことができたかもしれない。
問題は、 " https"で始まると、ユーザーは通常、パスワード、機密性の高いデータを入力したときにアドレスバーに表示されるセキュアな接続を、影響を与えます。それは、ウェブでの情報交換のタイプに影響を与えるため、判決は、ハート（ハートビート）英語Heartbleedで洗礼を受け、または「出血ハート」されている。
セキュリティホールは、ソースコード（コンピュータプログラムを構成するビルディング·ブロック）のOpenSSL 1.0.1fへのバージョン1.0.1である。 1.0.1g ：障害を修正し、ダウンロードの準備ができて新しいバージョンが既に存在します。このコードを使用するページの訪問者は2011年以来、潜在的に脆弱だったでしょう。誰かが機密情報にアクセスした場合、痕跡を残しているだろう。セキュリティは以来違反していると仮定する理由がないので、しかし、専門家は冷静を求める。
オープンSSLは、いくつかの主要なWebの世界で使用されているセキュリティシステムであり、イゴールウナヌー、技術者S21SECセキュリティ企業としてのサーバの「50 ％〜70％ 」 。リカルドガリ、 Diggの創業者、 500,000影響を受けるサーバーをダウングレードします。それは自由であり、これはサードパーティによって盗まれないように、個々のユーザーと交換される情報を暗号化するために使用されるWebツールとして機能します。

    Open SSLのは、オープンソースのプログラムです。つまり、任意のプログラマが伝えられるところでは、そのDNAの書き込みに関与することができ、ですが、それは1がWikipediaの記事として自由に変化させることができることを意味するものではありません。
彼らはTorのソフトウェアの安全な接続を介して、スチームのゲームプラットフォームに、ヤフー、グーグル、 Facebookやアマゾンからそれを使用しています。潜在的に何百万ものユーザーが利用可能なカバレッジなしでそこに残される可能性があり、そのデータバンクカード決済のページを保存したり、電子メールやインスタントメッセージを使用して。
障害があっても、暗号化（他がある）この方法を使用するときに、あなたのインターネットの銀行口座に接続するユーザーには影響が、実体ウナヌーは常にパスワードの暗号化とは独立して、追加のセキュリティシステムを使用することを覚えているかもしれない。ラ·カイシャは、自社のサーバーには影響されていないオープンSSLのバージョンを使用することを明らかにした。
ヤ フーの広報担当者は、同社は自社のウェブサイトはYahooのホームページ、ヤフー検索、 Yahooメール、ヤフーファイナンス、ヤフースポーツフォトサイトFlickrやTumblrのブログで問題を修正しており、エラーを訂正するために機 能していることを明らかにした彼らのウェブの残りの部分。 Google は、脆弱性検索、 GmailやYouTubeや財布（支払いを行うために使用されている） 、再生の利用者に影響を与えた公表（ Androidアプリケーションのダウンロード） 、アプリとApp Engineの（開発者が自分のアプリをアップロードする場合）また、バグを修正しました。
影響を受ける人々は、より大きなパッチ適用（コード修正のための俗語）のエラーですが、スコープはまだ不明です。配置は、 Chromeブラウザは、Googleの開発にアダムラングレーエンジニアによって作られ、 ACM 、問題の発見がで並行して実施した普及に専用のソフトウェア会社で働いボーデメラー、 PGP暗号化でのドイツの専門家であったCodenomiconと呼ばれるGoogleのエンジニアニール·メータと、フィンランドの会社。
脆弱性は、会社QualysのAP通信が引用し、専門家によると、約600以上のネットワークトラフィック万ページに影響を与えている可能性があります。それは、情報の潜在的さらされていた利用者の"百万人」を意味し、 Chemaアロンソ、セキュリティの専門家やコンサルタント64情報、安全性にも影響を受けている（すでに問題を修正しました）スペインの会社は述べています。
どのように作品を故障でしょうか？ Open SSLのは、オープンソースのプログラムです。つまり、任意のプログラマが伝えられるところでは、そのDNAの書き込みに関与することができ、ですが、それは1がWikipediaの記事として自由に変化させることができることを意味するものではありません。ロベルト·ベラスコ、ソフトウェア会社バスク有馬とセキュリティHDIVの共同創設者は、オープンソースを書くことで、「通常の手順」を説明しています。 「ソースコードリポジトリは、インターネット上で使用されている。最も広く使用されていると呼ばれ、 Githubのプロジェクトを格納するために使用される。各プロジェクトは、コードの品質をコントロールボードを持っています。ユーザが変更を行うコードの部分を送信し、管理者が受け入れた場合、最終的なソースコードに含まれることができる。 "
そしてコードのバグはこの脆弱性を作成することができます。 「一つのことは、すなわち、コード内の障害のバグであり、別の故障を活用する方法を、エクスプロイトです」とアロンソは説明しています。あなたはプログラムがセキュリティ亀裂を利用することができ、攻撃を取得することができますウェブサイトがあります。しかし、 「まだ知られてない事件、 「ウナヌーは冷静に言っていない。あなたは、ユーザー情報を取得するために利用された任意の加害者を知らないわけで。
これは、必ずしもこれらの障害への開いているプログラムをより受けやすいという意味ではありません。その性質上、誤差が歴史を導入されたときに描画することができ、変更の詳細な分析があります。通常、開発者は自分の名前と可能性がなくても、あなたのIPアドレス（電子「署名」 ）の実を使用していないので、しかし、責任者を配置することは、より複雑です。誰でもそれは、障害がインターネットのセキュリティをクラックしていることがあります。

Ein Riss in der Netzwerksicherheit
Ein Ausfall seit 2011 veranstaltet im Quellcode Verschlüsselungssystem wandelt OpensSSL Millionen Internet-Passwörter anfällig
L. MARTINEZ RIVAS / R. CANO JIMENEZ Madrid 9 ABR 2014 - 22.08 Uhr

 Ein Fehler in einer der Hauptprogramme über das Internet eine sichere Verbindung verwendet wurde möglicherweise Millionen von Benutzern für zwei Jahre ausgesetzt . Am Montag veröffentlichte Google eine Schwachstelle im System, die Verschlüsselung für sichere Verbindungen verwendet , genannt OpenSSL , die Giganten wie Yahoo und Amazon betroffen ist . Dieser Riss , seit 2011 und im Dezember 2013 um ein Google-Ingenieur entdeckt bestehenden hätte erlauben können, Hacker, Benutzer-Passwörter zu stehlen.
Das Problem betrifft sichere Verbindungen , die mit "https" beginnen und erscheinen in der Adressleiste , wenn der Benutzer gibt sensible Daten , in der Regel Passwörter. Das Urteil wurde in Englisch Heartbleed getauft worden , oder " blutendes Herz ", weil es eine Art von Informationsaustausch im Netz, Heartbeat ( Herzschlag) betrifft.
Die Sicherheitslücke ist im Quellcode (die Bausteine, aus denen ein Computerprogramm zu machen) Versionen 1.0.1 bis OpenSSL 1.0.1f . Es gibt bereits eine neue Version zum Download bereit , die den Fehler korrigiert : Die 1.0.1g . Besucher der Seiten, die diesen Code verwenden würde potentiell anfällig gewesen seit 2011 . Und wenn jemand vertrauliche Informationen zugegriffen wird, würde Spuren hinterlassen haben . Doch Experten rufen zur Ruhe auf , weil es keinen Grund zu der Annahme , dass die Sicherheit ist seit verletzt.
Open SSL ist ein Sicherheitssystem von einigen wichtigen Web- Welt verwendet , und " zwischen 50% und 70 %" der Server als Igor Unanue , Techniker S21sec Sicherheitsfirma . Ricardo Galli , Gründer von Digg, stuft betroffenen Servern zu 500.000 . Es ist kostenlos und funktioniert wie ein Web-Tool verwendet werden, um die Informationen mit einzelnen Benutzern ausgetauscht werden, so dass diese von Dritten nicht gestohlen werden zu verschlüsseln.

    Open SSL ist ein Open Source -Programm. Das heißt, jeder Programmierer kann angeblich in dem Schreiben ihrer DNA beteiligt, aber das bedeutet nicht, dass man am Willen als Wikipedia -Artikel verändern könnten .
Sie benutzen es von Yahoo , Google , Facebook oder Amazon, auf die Steam-Spiele -Plattform , über die Tor-Software sichere Verbindung . Potentiell könnte es ohne Abdeckung zur Verfügung, um Millionen von Nutzern speichern ihre Daten Zahlung mit Bankkarte Seiten oder über E-Mail oder Instant Messages gelassen werden.
Die Nichtbeachtung kann sogar Einfluss auf die Sie Ihre Internet- Bankkonto , wenn mit dieser Methode der Verschlüsselung ( es gibt auch andere ) zu verbinden, aber denken Sie daran , dass Unternehmen Unanue verwenden immer zusätzliche Sicherheitssysteme, unabhängig von der Passwortverschlüsselung . La Caixa sagte gestern, dass ihre Server mit einer Version des Open SSL , die nicht betroffen ist .
Eine Yahoo -Sprecherin sagte gestern , dass das Unternehmen das Problem auf ihren Websites Yahoo Homepage , Yahoo Search, Yahoo Mail , Yahoo Finance , Yahoo Sports , der Foto -Website Flickr und Tumblr Blog fixiert und arbeiten daran, den Fehler zu korrigieren in dem Rest ihrer Bahnen . Google veröffentlicht die Sicherheitslücke Nutzer -Suche, Google Mail , YouTube, Geldbörse (die verwendet wird, um Zahlungen zu leisten ) , Spiel beeinflusst ( Android-Anwendung Download) , Apps und App Engine ( wo Entwickler laden ihre Anwendungen) und hat auch den Fehler korrigiert .
Die Betroffenen sind größer Patchen (Slang für die Code- Fixes ) der Fehler , aber der Umfang ist noch unbekannt. Die Anordnung wurde von Adam Langley -Ingenieur in der Entwicklung der Chrome -Browser , Google gemacht , und Bodo Möller, deutscher Experte für PGP -Verschlüsselung, die für ACM , ein Software-Unternehmen , um die Verbreitung der Entdeckung des Problems wurde parallel durch eine durch gewidmet funktioniert Google-Ingenieur Neel Mehta und rief Codenomicon , ein finnisches Unternehmen .
Die Sicherheitsanfälligkeit kann nach einem Experten von der Firma Qualys Associated Press zitiert etwa 600 der 10.000 Seiten mit mehr Netzwerkverkehr beeinflusst haben . Das bedeutet, dass "Millionen" der Benutzer, deren Informationen wurden potenziell ausgesetzt sind, sagt Chema Alonso, Sicherheitsexperte und Berater 64 Informatik, spanische Unternehmen , deren Sicherheit hat sich auch auf (und hat das Problem bereits fest) .
Wie Fehler funktioniert? Open SSL ist ein Open Source -Programm. Das heißt, jeder Programmierer kann angeblich in dem Schreiben ihrer DNA beteiligt, aber das bedeutet nicht, dass man am Willen als Wikipedia -Artikel verändern könnten . Roberto Velasco , Mitbegründer des Software-Unternehmens Basken Arima -und Sicherheits HDIV erklärt das " normale Verfahren " schriftlich Open Source. "Source Code Repositories werden im Internet verwendet . Das am häufigsten verwendet wird, heißt Github und zu speichern Projekte verwendet. Jedes Projekt hat einen Vorstand , der die Qualität des Codes zu steuern. Der Nutzer kann Teile des Codes zu senden , um Änderungen vorzunehmen , und wenn der Administrator angenommen , in der letzten Quellcode enthalten . "
Und ein Fehler im Code kann eine Schwachstelle zu schaffen. "Eines ist der Fehler , dh , der Fehler im Code , der andere ist der Exploit , wie man die Vorteile des Scheiterns zu nehmen ", erklärt Alonso . Es gibt Webseiten , wo man Heldentaten zu bekommen , so dass Programme , die Vorteile der Sicherheits Risse zu nehmen. Aber " keine Zwischenfälle noch nicht bekannt ", sagt Unanue ruhig. Sie meinen, Sie kennen keine Täter, der genutzt wurde , um Benutzerinformationen zu erhalten wissen .
Dies bedeutet nicht zwangsläufig, dass geöffnete Programme mehr anfällig für diese Ausfälle. Mit seiner Art , gibt es eine detaillierte Analyse der Veränderungen , die gezogen werden , wenn der Fehler wurde eingeführt Geschichte werden ; Aber Lokalisierung der verantwortlichen Person ist komplizierter , da in der Regel der Entwickler nicht verwenden, seinen Namen und vielleicht nicht einmal Ihre IP-Adresse ( die elektronische "Unterschrift" ) real. Wer auch immer es sein mag, hat der Fehler Internet-Sicherheit geknackt.