Уязвимость в пакете OpenSSL подвергла опасности две трети всех серверов в интернете Статьи редакции







В начале этой недели технологическое сообщество было ошарашено открытием уязвимости «Heartbleed» в пакете OpenSSL, который обеспечивает https-соединения между сервером и пользователем. Эта уязвимость давала возможность читать небольшие куски оперативной памяти сервера. Таким образом, злоумышленники могли получать доступ к логинам и паролям пользователей, их Cookie или даже к приватным SSL-ключам сервера.



Ошибка закралась в код OpenSSL ещё два года назад, но сотрудник Google Нил Мехта и специалисты компании Codenomicon обнаружили её только сейчас.


Открытие бага Heartbleed спровоцировало широкое общественное обсуждение — это вызвано его потенциальной опасностью. Разработчики оперативно выпустили патч, но десятки миллионов серверов были подвержены уязвимости с 2012 года.


Библиотека OpenSSL не так известна за пределами мира программистов и администраторов, но примерно две трети всех серверов в мире используют эту технологию (в том числе Google, «Яндекс» и «Альфабанк» — используя Heartbleed, мошенники могли перехватывать письма или заполучить доступ к онлайн-банкингу). Каждый специалист, узнавший об уязвимости, сейчас пытается всё исправить. Уязвимости оказались подвержены крупные компании — к примеру, эксперты советуют пользователям Yahoo аккуратнее обращаться со своими аккаунтами до тех пор, пока сервера корпорации не обновятся полностью.


Впрочем, несмотря на то, что злоумышленники могли получить доступ к логинам и паролям пользователей, сервисы, предоставляющие двухфакторную авторизацию, оказались в безопасности. Один из самых крупнейших онлайн bitcoin-кошельков Blockchain также заявил о том, что его пользователи в безопасности благодаря специалистам компании Cloudflare и тому, что пароли пользователей никогда не отправляются на сервер.



Более маленькие компании, включая Imgur, Flickr, LastPass, тоже оказались под ударом. LastPass, впрочем, утверждает, что утечек незашифрованных данных не произошло. Исследователь из International Computer Science Institute Николас Вивер сказал изданию The Verge, что это «катастрофически ужасная, просто очень разрушительная уязвимость. В течение всего года будут обнаруживаться уязвимые сервера, и всё будет полностью исправлено ещё не скоро».


Большинство средств безопасности, которые основываются на OpenSSL, также оказались в шатком положении. Даже в заявлении от проекта Tor говорится, что «если вам нужна полная анонимность и безопасность в интернете, вам, скорее всего, придётся полностью воздержаться от посещения интернета в течение следующих нескольких дней, пока всё не уляжется». Причём несколькими днями всё может не ограничиться — этого времени хватит, чтобы устранить уязвимость на серверах, но в том случае, если кому-то удастся получить приватную информацию, ситуация так скоро не разрешится. Можно сбросить сертификаты на серверах, но это дорого и медленно — многие, возможно, решат ограничиться лишь патчем.



Apple и Microsoft избежали угрозы, так как используют собственные криптографические инструменты. Та же самая ситуация с крупнейшими банковскими и финансовыми сервисами. Yahoo, с другой стороны, оказалась подвержена уязвимости, и на момент написания этого текста обновляет ПО на своих серверах. Даже больше — любой сервер, работающий на Apache или Nginx, может быть подвержен этой уязвимости, следовательно, угроза нависла над огромным количеством популярных сайтов и сервисов.


Существует несколько способов проверить, какие сайты остались в безопасности — этих способов мало и они все ненадёжны. Этот сервис показывает, был ли установлен патч (допускается погрешность). Каждому серверу также придётся сгенерировать новые SSL-сертификаты, чтобы не дать злоумышленникам возможность воспользоваться выманенными ключами. Можно проверить сервер SSL-трекером, чтобы узнать дату выпуска сертификата (которая, соответственно, должна следовать после даты последнего патча).


Пока слишком рано судить о последствиях этой уязвимости, но некоторые уроки уже можно извлечь. OpenSSL поддерживает огромную инфраструктуру, но не получает достаточного финансирования — некоторые эксперты уже призывают пожертвовать некоторую сумму на нужды разработчиков, чтобы предупредить появление таких багов впредь. Perfect Forward Secrecy также могло бы предотвратить неприятные последствия уже вскрывшегося бага.


К тому же, такие баги очень сложно отыскивать — они могут проявиться во время проверки состояния памяти, но их нельзя обнаружить, просто внимательно проглядев код.








Исследователи нашли в Google Play сканер QR-кодов с вирусом, крадущим данные банковских приложений Статьи редакции

Программа может получить доступ к информации клиентов «Сбера», «Тинькоффа», ВТБ и других банков.

Бизнес онлайн: Авито запускает школу для предпринимателей

Компания будет обучать начинающих и опытных предпринимателей основам привлечения клиентов, поиска сотрудников и подрядчиков на онлайн-платформах. Сегодня платформу Авито используют 48% компаний малого и среднего бизнеса в стране — эксперты компании помогут новичкам и опытным предпринимателям сделать решение бизнес-задач еще более эффективным. Все…

Как с помощью WhatsApp увеличили выручку сервиса онлайн-бронирования на 133 млн рублей: кейс Агент.ру

Расскажем, как мы упростили путь покупателей и автоматизировали работу менеджеров с помощью чат-бота в WhatsApp и amoCRM для сервиса онлайн-продажи билетов. В результате увеличили прибыль компании на 33,5%.

Участники трека AI Factory – вы лучшие!

Десятый, юбилейный, трек AI Factory проекта «Московский акселератор» успешно завершен!

Как объединить разные продукты бренда с помощью дизайн-системы. Кейс «ВкусВилл» и Radar

Привет! На связи команда Radar. Зима близко, а значит пришло время повышать градус положительных эмоций, интересных проектов и, конечно, вкусной еды. Наш кейс для «ВкусВилл» объединил не только все вышеперечисленное, но и дизайн упаковки множества разных продуктов бренда. Сегодня рассказываем, как это было.

Next, vue, API и собеседования. О чём мы говорили на frontend meetup

Что лучше, Next.js или Nuxt.js? Как шарить API-клиент и перейти на TypeScript без боли? Как устроить собеседование во Frontend? Ответы на все эти вопросы есть в докладах с прошедшего frontend meetup. Записи всех выступлений уже доступны на YouTube

Как мы сделали POS-систему для рынка Канады
Не только лишь смартфоны в нашем парке тестовых устройств Александра Красножен
«Яндекс» добавил в «Браузер» автоматический закадровый перевод видео на французском, испанском и немецком Статьи редакции

Доступен на YouTube, Vimeo и других платформах.

Лайфхак в подборе: как ATS-системы помогают экономить время и бюджет рекрутеров

Процесс рекрутинга существенно не отличается от компании к компании. Есть несколько типичных шагов, которые проходит рекрутер: размещение вакансии на джоб-бордах, поиск соискателей по базам, согласование кандидатов с заказчиками, собеседование, выдача и проверка тестового задания, проверка кандидата службой безопасности.

Операторы в России перестали продавать тарифы с безлимитным мобильным интернетом новым абонентам Статьи редакции

Неограниченный трафик сильно увеличивает нагрузку на сеть и не приносит прибыль компаниям, считают эксперты.

null