原文記事: CoinDesk - Major Security Flaw ‘Heartbleed’ Puts Critical Services at Risk
著者: Jon Southurst (@southtopia) 翻訳: fixer
過半数のインターネットが、今年で2歳となるセキュリティ上の欠陥によって危険にさらされた可能性があることを本日明らかにされ、それはまたオンラインビットコインサービスに影響を与えるだろう。
脆弱性‘Heartbleed’は、パスワード、メッセージ、電子商取引、バンキング、VPNやその他の機密データを含むインターネットトラフィックを暗号化し、安全なオープンソースのSSLとTLSセキュリティプロトコルを実装したOpenSSLに影響を与える。OpenSSLはこの目的のために使われる最も一般的なソフトウェアライブラリだ。
2年が経った
報告によると、Heartbleedの欠陥は2011年より研究者に知られており、そして2012年以降、インターネットの大部分の重要なデータが‘black hat’ハッカーの前で何年もの間公然とされていた。攻撃の痕跡は残されていないとはいえ、脆弱性を突いたという報告も確認されていない。
現在、世界中のセキュリティ管理者は急いで修正プログラムを適用し、危険に晒される可能性を限りなく無くすために秘密鍵と証明書を変更している。
それは‘安全な’httpsプロトコルを使用するサイトを弱めるために、脅威は厳密には為替やウォレットのようなビットコインサービスに対してではない。しかしながら当局が事実上、盗難や調査不能であるビットコインを拒絶する動きに傾く可能性もあり、‘伝統的な’オンライン金融もしくは他の重要な何かよりも弱くなり、ビットコインサービスが撤退することになる可能性がある。
サイトをテストせよ
イタリアのセキュリティ専門家であるFilippo Valsordaは、Heartbleedに影響されるかどうかを確認するために、サーバーのホスト名を入力出来るウェブベーステストを構築した。
執筆時点では、Valsordaのサイトで主要なビットコインサービスのアドレスを入力すると、Blockchain、CoinbaseやBitPayは安全であることを示したが、世界で最も人気のある取引所、Bitstampは未だ脆弱なままであった 。
(*翻訳者が確認した時点でBitstampは対策済み、もなとれは未対策)
(**投稿直後にもなとれが対策済みとなったのを確認しました。)
Valsordaも「不正利用は簡単にでき、パッチ適用も早急にはできない」と言っており、他の実装による何か固有の問題よりも、オンラインビットコインサービスについて、非常に憂慮していた。
“It’s fundamental to tell everyone to check all their servers and update ASAP [...] I can’t obviously be positive about it, but bitcoin-specific software (local wallets, etc.) should not be affected even if they use OpenSSL, since the bug is only triggerable in live TLS connections.”
[訳]これは出来る限り早く全てのサーバーをチェックし、アップデートすることを伝える基本的なことだ(中略)私はそれについて明確に楽観することが出来ないが、ビットコインのソフトウェア(ローカルウォレットなど)はたとえOpenSSLを使用していたとしても影響をうけないだろう。このバグは生のTLS接続によってのみ引き起こされるためだ。
しかしながらビットコイン生態系における公共サービスは当然ながらほぼ全てがTLSによって機密保全されており(全てのウェブウォレット、取引所だけでなくAPIやメールサーバーも考えれば当然)、恐らくは潜在的な影響を受けていると言えるだろう。
パッチを急ぎ、鍵を変更せよ
OpenSSLを使用するインターネットサーバーは50%を超えると推定される(そして恐らくはもっと多い)。半分を超えるインターネット上の機密データを2年間もの間無防備なままにしているという考えは、セキュリティ部門に焦りを生んだ。
Heartbleedの悪用によって、アタッカーはシステムに影響を与えるRAMにアクセスすることができ、一度に64kbitesのデータを覗くことを許した。そしてそれはシステムの秘密鍵にアクセスするには十分な情報であり、それらの鍵は、暗号化及び復号化など繊細なトラフィックおよびサービス・プロバイダを識別するために用いられる。
一度秘密鍵が獲得されると、アタッカーは公然とサーバーのトラフィックを読み取ることができ、もしくはサービスとユーザーを偽装することが出来た。
脆弱なシステムの上でのアタックは介入の技術を必要とせず、そのシステムが侵害されているかどうかを知られることがない確実な方法によりシステム管理者へ痕跡も残さない。
潜在的なダメージの程度は徐々に波及していった。
Heartbleed is a rare bug: a failure in a crypto library that leaks data beyond what it's protecting. So worse than no crypto at all.
— matt blaze (@mattblaze) 2014, 4月 8
開発者であり、ビットコイン財団の法・政策委員会議長であるMike Hearnは、ビットコインサービスへの影響は限定的であろうことを期待しているが、ビットコインサービスが常にセキュリティのためのベスト・プラクティスを採用しなかったことを指摘した。
“I’m hoping the impact will be limited. Major sites will have to rotate their SSL keys after upgrading [...] Most sites should have the private keys for their wallets in a different server process where the data cannot be extracted this way. However it will not surprise me if a few sites are not working this way for whatever reason and might suffer thefts.”
[訳]私は影響が限定的であることを願っています。主要なサイトの殆どはアップグレード後にSSLキーを変更する必要があるでしょう。(中略)殆どのサイトは、このようにデータを抽出出来ないよう異なるサーバープロセスによってウォレットのためのプライベート鍵を得る必要があります。しかしながら、いくつかのサイトが何らかの理由でこのように動作しないとしても私は驚かないが、盗難を被る可能性があるでしょう。
企業の反応
ニュースに続いて、多くのビットコインおよびALTCOINの取引所は欠陥への取り組みと進捗をユーザーに届けるため、公式の発表をTwitterで行った。
#Bitstamp turns off its accregistration, login & all virtual currency withdrawal functions as a precaution following recent OpenSSL news.
— Bitstamp (@Bitstamp) 2014, 4月 8
CoinDeskのインタビューで、BitstampのCEOであるNejc Kodričは、同社サーバーへのパッチを正常に適用したが、DDoS軽減プロバイダのIncapsulaにて、完全なセキュリティを確保するために同じことをする必要があることを明らかにした。
そのために、同取引所は安全な機能を残し、アカウント登録、アカウントログイン及び仮想通貨の引き出し機能を*一時的に無効化した。
他の取引所は、CoinDesk BPIに最近追加されたBitfinexを含め、プラットフォームを通じて同じような声明を発した。
Heartbleed bug fixed on Bitfinex, withdrawals are disabled for now until we make sure everyone is safe
— Bitfinex.com (@bitfinex) 2014, 4月 8
一方、localbitcoins.comのようなプラットフォームやBitcurexは大きな成功を報告している。
We are up again, heartbleed bug fixed. http://t.co/OwP9Ft1dE7
— LocalBitcoins.com (@LocalBitcoins) 2014, 4月 8
公式見解のリリース
Heartbleedの存在を知らせるニュースは、CodenomiconというフィンランドのITセキュリティコンサルタントによって、自らに脆弱性を突いた攻撃を試し、その詳細を発表するという形でリリースされた。GoogleのセキュリティエンジニアであるNeel Mehtaは、*OpenSSLチームのAdam LangleyとBodo Moellerに修正プログラムを準備させていることを報告した。
その名称は、OpenSSLの‘Heartbeat’拡張子バグの存在からくる。そしてSSL/TLSプロトコル自身の何らかの欠陥を示すものではない。
Codenomiconは実施は簡単なものであったとし、そして自らのサービスにアタックを仕掛けることに成功し、*X509証明書のユーザー名とパスワード、そしてビジネスに重要な通信へアクセスする秘密鍵を獲得したと発表した。
OpenSSLによる*セキュリティ勧告では、Heartbleedは1.0.1fおよび1.0.2-β1を含むソフトウェア·ライブラリの1.0.1および1.0.2ベータリリースが影響を受けたと発表した。
“A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server,” it read, advising users to either upgrade immediately or remove heartbeats from their version of OpenSSL by recompiling it with -DOPENSSL_NO_HEARTBEATS.”
(最後の文だけ綺麗に訳せなかったので断念。-DOPENSSL_NO_HEARTBEARTSは多分コンパイルのコマンド?単にアップグレードするか、リコンパイルしたOpenSSLのHeartbeatを削除する?技術的な部分はわからないので申し訳・・・。)
もしこの記事が参考になりましたら、あなたの寄付をお願い致します。
寄付はfixerのモチベーションです!
monappy: http://monappy.jp/u/fixer
monacoin: MGkU2S5DPxSFtTZ2a9hZ6cd6C9uZW6yrJH
Comments/disqusion
No comments