Загрузка. Пожалуйста, подождите...
Главная страницаТехнологии → Разбитое сердце Heartbleed – уязвимость системы шифрования

Разбитое сердце Heartbleed – уязвимость системы шифрования

Разбитое сердце Heartbleed – уязвимость системы шифрованияГлавной интернет-новостью последних месяцев стал баг Heartbleed – уязвимость системы шифрования данных, широко используемой сетевым оборудованием по всему миру. По недосмотру программистов в последнюю версию этой системы закралась ошибка.

В апреле 2014 года специалисты по интернет-безопасности с ужасом обнаружили: хакеры почти три года имели возможность эксплуатировать эту ошибку, чтобы «вытягивать» с серверов чужие данные, не оставляя никаких следов. В обновленной версии злополучного протокола шифрования OpenSSL ошибка устранена – но масштаб произошедшего неясен до сих пор.

Каждому знакомо неуютное чувство, когда возвращаешься домой и обнаруживаешь, что забыл запереть дверь. Что-то подобное произошло во Всемирной паутине – только двери в ней, как выяснилось, были настежь открыты в течение двух лет.

Когда вы расплачиваетесь кредитной картой в интернет-магазине, информация с вашего компьютера через несколько промежуточных звеньев отправляется на сервер компании-продавца. Сервер – это компьютер, предоставляющий какую-либо услугу (например, доступ к сайту магазина). Пользовательский же компьютер, услугу эту запрашивающий, называется клиентом.

Чтобы информацию, передаваемую между сервером и клиентом, нельзя было перехватить, машины используют шифрование. Номер вашей кредитной карты, перед тем как быть отправленным на сервер, кодируется по установленному алгоритму или протоколу. Чтобы зашифровать и расшифровать эту информацию, используются уникальные «ключи» – случайным образом выбранные числа, известные только клиенту и серверу.

Кто виноват и что делать?


OpenSSL – протокол с открытым исходным кодом (отсюда приставка Open). Его разработка осуществляется и модерируется добровольцами на некоммерческой основе. Поэтому найти виновного в Heartbleed довольно трудно. Код, содержащий ошибку, предложил один из добровольцев OpenSSL, Робин Сеггельман (Robin Seggelmann). Однако помимо самого Сеггельмана, ошибку пропустили модераторы проекта, в чьи обязанности входит контроль за возможными уязвимостями. Кроме того, с юридической точки зрения сами интернет-компании, использующие ПО с открытым исходным кодом, должны удостоверяться в его безопасности. На практике, впрочем, это трудно реализуемая задача.

Меры против Heartbleed, доступные рядовому пользователю, довольно ограничены. Прежде всего стоит сменить пароли к затронутым сайтам – Mashable, например, составил удобную подборку популярных порталов, которые могли оказаться уязвимыми. Уделяйте больше внимания интернет-безопасности – не открывайте странных файлов и не доверяйте подозрительным сайтам.

OpenSSL – один из протоколов, которым такое взаимодействие регламентируется. В 2011 году в этот протокол была добавлена функция «сердцебиения» (heartbeat). Heartbeat представляет собой обмен короткими пакетами данных между клиентом и сервером – своеобразный маятник запросов и отзывов, с помощью которых машины удостоверяются, что собеседник все еще на связи. Именно эта функция породила уязвимость, названную Heartbleed – слово, которое можно отдаленно перевести как «кровоточащее сердце».

Суть этой уязвимости состоит в том, что злоумышленник может использовать «сердцебиение» для выуживания данных из памяти других компьютеров в сети. В обычной ситуации при каждом «пульсе» пользователь запрашивает у сервера просто отклик «я здесь». Но хакер, маскируя свой запрос под «сердцебиение», может запросить не только этот отклик, но и несколько дополнительных строк информации из памяти сервера – все, что оказалось в этот момент неподалеку. Неподалеку, например, мог оказаться номер вашей кредитной карты или пароль электронной почты, который вы только что ввели.

Ситуацию усугубляет еще и то, что Heartbleed теоретически может «слить» те самые ключи, используемые клиентом и сервером для шифрования данных. Это позволяет злоумышленникам «встраиваться» в обмен сообщениями между ними, например, «изображая» сервер перед ничего не подозревающим клиентом. Для киберпреступника нет ничего удобнее такой
ситуации.

Еще одна неприятная особенность Heartbleed – тот факт, что он не оставляет никаких следов. Из-за этого сегодня невозможно оценить, каков был реальный эффект этой уязвимости. Возможно, Интернет отделался легким испугом. Но возможно и другое: за годы «открытых дверей» огромное количество наших личных данных могло оказаться в руках преступников.

Кого затронул Heartbleed? Уязвимую версию OpenSSL используют до двух третей интернет-сайтов. Из российских организаций в числе жертв называют системы платежей РЖД. Потенциально уязвимой оказалась большая часть Интернета – хотя такие сервисы как Gmail, использующие более совершенные методы шифрования, скорее всего, в безопасности. Уязвимость определяется версией программного обеспечения, установленного на сетевом оборудовании. Крупнейшие производители Cisco и Juniper в данный момент активно тестируют свои продукты на предмет подверженности Heartbleed.

Гарвардский эксперт по интернет-безопасности Брюс Шнайер (Bruce Schneier) назвал баг Heartbleed «катастрофическим». «По шкале от 1 до 10, – написал он в своем блоге, – это 11». Некоторые интернет-активисты увидели в обнаружении уязвимости повод поставить под сомнение сегодняшний подход к интернет-безопасности. В частности, высказываются предложения об обязательном независимом аудите программного обеспечения, используемого для шифрования персональных данных.

Год назад с руки Эдварда Сноудена мир узнал об интернет-слежке Агентства национальной безопасности США за американскими гражданами. Скандал вокруг бага Heartbleed добавляет этой и без того острой теме дополнительной пикантности.

Как сообщает Bloomberg News со ссылкой на анонимные источники, АНБ было «в курсе уязвимости, ныне известной как Heartbleed, в течение, по крайней мере, двух лет», и даже эксплуатировало баг в своих целях. Словом, по крайней мере одна группа злоумышленников уязвимостью все-таки воспользовалась.
 (Голосов: 1)
...
Логин
Пароль