Уязвимость в пакете OpenSSL подвергла опасности две трети всех серверов в интернете

 
Ошибка закралась в код OpenSSL ещё два года назад, но сотрудник Google Нил Мехта и специалисты компании Codenomicon обнаружили её только сейчас. Об этом сообщает siliconrus.com.
 
Открытие бага Heartbleed спровоцировало широкое общественное обсуждение — это вызвано его потенциальной опасностью. Разработчики оперативно выпустили патч, но десятки миллионов серверов были подвержены уязвимости с 2012 года.

heartbleed.png

Библиотека OpenSSL не так известна за пределами мира программистов и администраторов, но примерно две трети всех серверов в мире используют эту технологию (в том числе Google, «Яндекс» и «Альфабанк» — используя Heartbleed, мошенники могли перехватывать письма или заполучить доступ к онлайн-банкингу). Каждый специалист, узнавший об уязвимости, сейчас пытается всё исправить. Уязвимости оказались подвержены крупные компании — к примеру, эксперты советуют пользователям Yahoo аккуратнее обращаться со своими аккаунтами до тех пор, пока сервера корпорации не обновятся полностью.
 
Впрочем, несмотря на то, что злоумышленники могли получить доступ к логинам и паролям пользователей, сервисы, предоставляющие двухфакторную авторизацию, оказались в безопасности. Один из самых крупнейших онлайн bitcoin-кошельков Blockchain также заявил о том, что его пользователи в безопасности благодаря специалистам компании Cloudflare и тому, что пароли пользователей никогда не отправляются на сервер.

serv_0.jpg

Более маленькие компании, включая Imgur, Flickr, LastPass, тоже оказались под ударом. LastPass, впрочем, утверждает, что утечек незашифрованных данных не произошло. Исследователь из International Computer Science Institute Николас Вивер сказал изданию The Verge, что это «катастрофически ужасная, просто очень разрушительная уязвимость. В течение всего года будут обнаруживаться уязвимые сервера, и всё будет полностью исправлено ещё не скоро».
 
Большинство средств безопасности, которые основываются на OpenSSL, также оказались в шатком положении. Даже в заявлении от проекта Tor говорится, что «если вам нужна полная анонимность и безопасность в интернете, вам, скорее всего, придётся полностью воздержаться от посещения интернета в течение следующих нескольких дней, пока всё не уляжется». Причём несколькими днями всё может не ограничиться — этого времени хватит, чтобы устранить уязвимость на серверах, но в том случае, если кому-то удастся получить приватную информацию, ситуация так скоро не разрешится. Можно сбросить сертификаты на серверах, но это дорого и медленно — многие, возможно, решат ограничиться лишь патчем.

hbleed.png

Apple и Microsoft избежали угрозы, так как используют собственные криптографические инструменты. Та же самая ситуация с крупнейшими банковскими и финансовыми сервисами. Yahoo, с другой стороны, оказалась подвержена уязвимости, и на момент написания этого текста обновляет ПО на своих серверах. Даже больше — любой сервер, работающий на Apache или Nginx, может быть подвержен этой уязвимости, следовательно, угроза нависла над огромным количеством популярных сайтов и сервисов.
 
Существует несколько способов проверить, какие сайты остались в безопасности — этих способов мало и они все ненадёжны. Этот сервис показывает, был ли установлен патч (допускается погрешность). Каждому серверу также придётся сгенерировать новые SSL-сертификаты, чтобы не дать злоумышленникам возможность воспользоваться выманенными ключами. Можно проверить сервер SSL-трекером, чтобы узнать дату выпуска сертификата (которая, соответственно, должна следовать после даты последнего патча).
 
Пока слишком рано судить о последствиях этой уязвимости, но некоторые уроки уже можно извлечь. OpenSSL поддерживает огромную инфраструктуру, но не получает достаточного финансирования — некоторые эксперты уже призывают пожертвовать некоторую сумму на нужды разработчиков, чтобы предупредить появление таких багов впредь. Perfect Forward Secrecy также могло бы предотвратить неприятные последствия уже вскрывшегося бага.
 
К тому же, такие баги очень сложно отыскивать — они могут проявиться во время проверки состояния памяти, но их нельзя обнаружить, просто внимательно проглядев код.

Еще интересное

В Украине смартфонами пользуется 14% населения, из них 50% ежедневно входят со своих мобильных устройств в интернет
Американские чиновники сообщают о том, что группа иранских хакеров произвела кибератаку на компьютерную сеть американского ВМФ.
На прошлой неделе разработчики Apple выпустили обновление мобильной операционной системы iOS 7, устранявшее уязвимость, эксплуатируя которую можно было обойти экран блокировки устройства

Мошенники придумали способ завлечения доверчивых пользователей через обещание вознаграждения за пожертвование на благотворительный проект. Об этом сообщает «Лаборатория Касперского».

Инженеры Массачусетского технологического института, США, разработали прибор, который анализирует отражённые от человека радиоволны
Социальная сеть профессионалов будет предлагать временные коды для 2-факторной аутентификации через SMS. Этот дополнительный шаг для авторизации должен уменьшить шансы взлома учетных записей LinkedIn.