22.11.2017
Home | Статьи | Объявлено об уязвимости в протоколе шифрования OpenSSL
Изображение с сайта Heartbleed.com
Изображение с сайта Heartbleed.com

Объявлено об уязвимости в протоколе шифрования OpenSSL

Обнаруженная уязвимость в самом распространенном криптопакете OpenSSL потенциально может вести к похищению данных (почти) всех пользователей интернета. Об этом было объявлено 8 апреля. “Дыра” была обнаружена двумя группами специалистов независимо друг от друга – сотрудниками американо-финской компании Codenomicon и крупнейгей поисковой системы Google.

Подробно ошибка описана на сайте HeartBleed.com, созданном в Codenomicon. В переводе с английского Heart Bleed бувально означает “кровоточащее сердце”. Такое название выбрано не случайно, поскольку обнаруженная уязвимость находится в пакете в пакете heartbeat (буквально – удар сердца, сердечный ритм), который используется для диагностики и обнаружения сбоев и управления ресурсами серверного кластера. Heart Bleed позволяет перехватывать ключи, шифрующие данные при передаче между серверами. Такой метод взлома не оставляет совершенно никаких следов, и, следовательно, в случае хищения данных узнать об этом невозможно.

Пакет шифрования OpenSSL – самый распространенный в мире и используется в основном на веб-серверах, использующих Apache и nginx. OpenSSL используется также для обеспечения работы серверов электронной почты и разнообразного клиентского ПО, в том числе в банковской сфере. По данным исследовательской компании Netcraft, эти архитектуры установлены на 66%-ах всех серверов в интернете. Список серверов компаний, подверженных уязвимости, можно найти на сайте GitHub.

Еще до обнародования информации о найденной уязвимости, 7 апреля, была выпущена новая версия OpenSSL, в которой “дыра” уже отсутствует. Замечу, что простого обновления пакета недостаточно. Если ключи шифрования похищены, они могут точно также использоваться и далее, а для обеспечения безопасности нужно получить новые сертификаты безопасности и сгенерировать новые ключи. Разумеется, после обновления необходимо произвести тотальную смену паролей.

Как сообщает телеканал n-tv, ошибка существует, как минимум, с 2012 года, а допустил ее при написании кода немецкий программист.

Уязвимости со столь высоким уровнем критичности обнарудиваются не чаще пары раз в год. Но и методы атак и анализа программного кода совершенствуются постоянно, а, следовательно, можно ожидать, что в будущем в популярных криптографических пакетах найдутся и другие серьезные ошибки.

Читать ещё

bilet.kartina.tv : Еще один сервис от любимого телепровайдера

Продажа электронных билетов на концерты и спектакли, проходящие в Германии от КартинаТВ