Ssl ошибка угрожает безопасной связи

SSL, сокращение от Secure Sockets Layer, - это то, что помещает S в HTTPS. Опытные пользователи знают, что нужно искать HTTPS в адресной строке, прежде чем вводить какую-либо конфиденциальную информацию на веб-сайте. Наши SecurityWatch часто публикуют приложения для Android, которые передают личные данные без использования SSL. Увы, недавно обнаруженная ошибка «Heartbleed» позволяет злоумышленникам перехватывать защищенную SSL связь.

Ошибка называется Heartbleed, потому что она связана с функцией, называемой heartbeat, затрагивает определенные версии широко используемой криптографической библиотеки OpenSSL. По данным веб-сайта, созданного для отчета о Heartbleed, совокупная доля рынка двух крупнейших веб-серверов с открытым исходным кодом, использующих OpenSSL, составляет более 66 процентов. OpenSSL также используется для защиты электронной почты, серверов чата, VPN и «широкого спектра клиентского программного обеспечения». Это повсюду.

Это плохо, действительно плохо

Злоумышленник, воспользовавшись этой ошибкой, получает возможность считывать данные, хранящиеся в памяти сервера, на который влияют, включая все важные ключи шифрования. Имена и пароли пользователей, а также весь зашифрованный контент также могут быть записаны. Согласно сайту, «это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у служб и пользователей и выдавать себя за службы и пользователей».

Далее сайт отмечает, что получение секретных ключей «позволяет злоумышленнику расшифровать любой прошлый и будущий трафик к защищенным сервисам». Единственным решением является обновление до самой последней версии OpenSSL, отзыв украденных ключей и выдача новых ключей. Даже тогда, если злоумышленник перехватил и сохранил зашифрованный трафик в прошлом, захваченные ключи будут расшифровывать его.

Что можно сделать

Эта ошибка была обнаружена независимо двумя разными группами, парой исследователей из Codenomicon и исследователем безопасности Google. Они настоятельно рекомендуют, чтобы OpenSSL выпустил версию, которая полностью отключает функцию сердцебиения. После выпуска этой новой версии уязвимые установки могли быть обнаружены, потому что только они будут реагировать на сигнал сердцебиения, позволяя «масштабно скоординированному реагированию охватить владельцев уязвимых служб».

Сообщество безопасности серьезно относится к этой проблеме. Вы можете найти заметки об этом, например, на веб-сайте US-CERT (United States Computer Emergency Readiness Team). Вы можете проверить свои собственные серверы здесь, чтобы увидеть, являются ли они уязвимыми.

Увы, счастливого конца этой истории нет. Атака не оставляет следов, поэтому даже после того, как веб-сайт исправит проблему, никто не скажет, взломали ли мошенники личные данные. Согласно веб-сайту Heartbleed, IPS (система предотвращения вторжений) будет трудно отличить атаку от обычного зашифрованного трафика. Я не знаю, чем заканчивается эта история; Я доложу, когда еще что рассказать.