Heartbleed - самый опасный баг нашего времени.

 
 0

Опубликовано: 22 апреля 15:35

 

Heartbleed Bug – это словосочетание, о котором не так давно знали исключительно «посвященные» люди, то есть те, кто заняты в технической сфере. Однако в последнее время новости буквально везде, не только  в интернете, стали упоминать Heartbleed Bug, поскольку этот критически опасный баг, обнаруженный в OpenSSL, дал возможность говорить о катастрофической картине.

Для того, чтобы понять масштаб трагедии, в первую очередь нужно понять, что же все-таки произошло, и почему существование Heartbleed Bug стало настолько значимым даже для обычных пользователей, сначала разберем, что же кроется в понятии «критический баг» в данном случае. Опасность заключается в том, что наличие критического бага – это возможность скомпрометировать и те данные, которые непосредственно относятся к уязвимости, и другие данные в ОС. Поскольку OpenSSL используется в подавляющем большинстве сетевых серверов, а также в сетевом оборудовании Juniper и Cisco, в мобильных программах, в интернете, то баг ставит под удар огромное количество пользователей.

Возможно, некоторые из вас пожмут плечами: наши данные в порядке, а обновление для исправления бага уже вышло, так в чем же проблема? Если вы так считаете, то не до конца понимаете суть OpenSSL, которая представляет собой клиент-серверную систему, которая генерирует цифровые ключи на сервере, а вот они впоследствии передаются клиенту и в течение достаточно длительного времени хранятся на нем. Поэтому, даже если на сервере программное обеспечение будет обновлено сразу же, ключи (в механизме генерации которых уже заложен баг) старого образца продолжают делать клиент уязвимым, следовательно необходимо вручную удалить старые ключи, сгенерировать новые и работать с ними.

Еще сложнее становится в случае, если SSL ключи вшиты в само устройство, так что для того, чтобы такое устройство стало безопасным, необходимо будет сменить прошивку устройства. Как уже было сказано, данный баг имеется в некоторых устройствах компаний Cisco и Juniper, при этом использование огромного количества оборудования для корпоративных сетей еще более усложняет проблему – ведь нельзя просто так взять и отключить сеть для того, чтобы мирно ждать новой прошивки. Межсетевой экран и VPN сеть также не станут панацеей. И в качестве, так сказать, контрольного выстрела: даже если оборудование приобретено уже после обнародования информации о баге,  то он все равно может присутствовать в маршрутизаторах, роутерах и других сетевых устройствах, поскольку они были выпущены до этого момента, так что остается только ждать выпуска нового программного обеспечения. В этом плане пользователи Cisco находятся в более выгодном положении, чем те, кто используют устройства от Juniper, поскольку работа над новыми прошивками в Cisco была начата гораздо раньше, да и компания Juniper Networks не спешит разглашать список уязвимых устройств именно по этой причине.

Если вас не затрагивает проблема влияния Heartbleed Bug на безопасность корпоративных сетей, не спешите думать, что она не касается вас вообще. Вряд ли вы – тот самый уникальный человек, который не пользуется ни социальными сетями, ни другими онлайн-сервисами, ни системами интернет-банкинга (по крайней мере, я не могу вспомнить таких персонажей среди всех своих знакомых). Поэтому будьте готовы сесть за клавиатуру и сменить пароли на всех используемых интернет-сервисах, даже если для вас это сложный и неудобный процесс – в конце концов проще придумать новые пароли, чем потом разгребаться с последствиями похищения логинов-паролей злоумышленниками. Это рекомендует Яндекс, это рекомендует Mail.ru Group и большинство других популярных среди пользователей Рунета сервисов; пользователи некоторых банков также получили предупреждение о необходимости смены паролей для того, чтобы мошенники не смогли захватить аккаунты интернет-банка и иные важные данные. Конечно,   реакция на обнародование проблемы была практически моментальной, и на данный момент многие сервисы уже могут гарантировать безопасность своих пользователей.

Как известно,  в отношении багов самых разных систем справедлива поговорка «Кому баг, а кому фича». Не стал исключением и Heartbleed, который, как оказалось, существует уже в течение двух лет и активно используется сотрудниками американского Агентства национальной безопасности для того, чтобы получить доступ к данным пользователей интернета. Конечно, еще 11 апреля представители АНБ выступили с опровержением, сообщив, что они вообще не знают о том, что такое Heartbleed, не говоря уже о том, чтобы использовать его для сбора данных. Однако еще в 2013 году о глобальной слежке, осуществляемой АНБ за пользователями всего мира, стало известно благодаря товарищу Сноудену. Цели АНБ озвучивает исключительно благородные, что дескать подобная слежка ведется исключительно в целях борьбы с терроризмом, однако достаточно неприятно осознавать, что ваши личные звонки и сообщения попадают в единую базу такой организации, так же, как и 1,7 миллиарда сообщений и звонков каждый день. Возможно, некоторых утешит то, что под пристальным вниманием оказались не только рядовые пользователи, но и важные государственные лица, но, как говорится, «осадочек-то остался».

Для всех, кто внимательно следит за темой информационной безопасности, появление Heartbleed в принципе не стало чем-то удивительным, ведь OpenSSL и без того отличается крайне низким качеством кода. Зайдите на твиттер @OpenSSLFact – там масса примеров, подтверждающих название статьи 2009 года «OpenSSL писали обезьяны». Можете также воспользоваться одним из ханипотов, которые при попытке сканирования выдадут злоумышленнику забавную картинку в псевдографике вместо искомых данных. Как бы то ни было, пока что остается ждать, когда же существование Heartbleed перестанет нести опасность для данных пользователей.


Лев Давыдов aka SaDLer

Оставьте сообщение

Имя:

Комментарий:


 
 
Программное обеспечение для бизнеса
Корзина пуста

+7 (499) 381-68-71