Главная → Статьи → Уязвимость Heartbleed: что нужно знать

Уязвимость Heartbleed: что нужно знать

14.04.2014 / 09:00

На этой неделе в интернет-протоколе OpenSSL обнаружился серьезный дефект, который оставался незамеченным в течение двух лет и мог привести к раскрытию личной и финансовой информации миллионов пользователей.

Пока неясно, воспользовались ли злоумышленники этим дефектом и если да, то насколько широко, но ясно, что речь идет о крупнейшей проблеме в сфере сетевой безопасности за последние годы.

Эксперт по интернет-безопасности Брюс Шнейер считает, что проблема приняла катастрофические размеры: "По десятибальной шкале мы говорим об 11 баллах".

Этот дефект уже прозвали Heartbleed ("сердце кровью обливается"), потому что он воздействует на раздел протокола OpenSSL(Secure Sockets Layer), который называется Heartbeat ("биение сердца").

Это один из самых популярных способов шифрования данных в интернете, который используется примерно двумя третями всех существующих веб-сайтов. Если при заходе на сайт рядом с его названием появляется символ замочка, велика вероятность того, что он использует этот протокол.

Считается, что дефект затронул до полумиллиона сайтов.

"Баг Heartbleed позволяет всем желающим проникать в память систем, защищенных уязвимыми версиями протокола OpenSSL. Он вскрывает секретные коды, используемые для идентификации интернет-провайдеров и для шифрования данных, имен и паролей пользователей, а также содержания их посланий", - говорит глава компании Co3 Systems Брюс Шнайер.

"Это позволяет хакерам отслеживать обмен сообщениями, похищать данные непосредственно с серверов и компьютеров пользователей, а также выдавать себя за сервисы и пользователей", - добавляет он.

Нужно ли срочно менять пароли?

Некоторые эксперты в области безопасности считают, что именно сейчас самое время менять все пароли к банковским и финансовым сайтам, а также к почтовым службам.

Впрочем, с этим согласны далеко не все. Некоторые популярные сайты, например, Facebook и Google, уже устранили дефекты в этом протоколе, используемом в их системах. Их представители заявили, что смена пароля не нужна.

Некоторые специалисты указывают на существование множества не столь крупных сайтов, которые пока не приняли нужные меры безопасности. В этих случая смена пароля может причинить больше вреда, чем пользы, так как может выдать потенциальному хакеру и старый, и новый пароль.

Впрочем, некоторые интернет-компании начинают предлагать пользователям альтернативы паролям.

Компании типа Apple и Samsung, которые выпускают смартфоны, начинают снабжать их устройствами для считывания отпечатков пальцев, которые позволяют пользователям получать доступ к определенным функциям этих устройств простым касанием пальца.

Уже появилось множество сайтов, которые позволяют пользователям оценить риск, связанный с посещением тех или иных сервисов.

Известная компьютерная фирма Касперского уже составила свой список уязвимых сайтов и предлагает желающим проверить себя на сайте Нажать Heartbleed test.

Одной из крупнейших интернет-компаний, остававшихся в числе уязвимых, до последнего момента была Yahoo, но и она к вечеру среды ввела в действие меры по устранению дефекта в своих системах безопасности.

Что может произойти в худшем случае?

Самое большая опасность состоит в том, что, по мнению экспертов из компании Касперского, взлом с помощью бага Heartbleed не оставляет никаких следов на серверах и поэтому невозможно сказать, какие именно данные были похищены.

Специалисты отмечают признаки того, что группы хакеров проводят автоматизированное сканирование миллионов сайтов в интернете в поисках серверов, которые используют протокол OpenSSL.

По данным фирмы Касперского, имеются указания на то, что государственные службы кибершпионажа осуществляли такое сканирование незадолго до того, как распространилось известие о баге Heartbleed.

Почему лазейку обнаружили так поздно?

Дефект был обнаружен практически одновременно отделением безопасности компании Google и финской фирмой Codenomicon, которая заявила, что он был вызван ошибкой в программировании.

Поскольку протокол OpenSSL является открытой платформой, исследователи сумели проанализировать его весьма тщательно.

Однако подобные протоколы обладают высокой степенью сложности, и поиск ошибок может занять немало времени.

Связан ли дефект с недавними разоблачениями Сноудена?

Эдвард Сноуден опубликовал немало данных, свидетельствующих о попытках США противодействовать шифрованию сообщений в интернете.

Известно, что Агентство национальной безопасности США вело мониторинг миллионов адресов электронной почты, однако остается неизвестным, пыталось ли оно эксплуатировать недавно замеченный дефект в протоколе OpenSSL.

Британский центр правительственной связи (GCHQ) просто отказывается комментировать сообщения на эту тему.

Впрочем, большинство специалистов сходятся в том, что в данном случае речь идет об ошибке, а не о зловещем заговоре.