Найдена критическая уязвимость в популярном алгоритме интернет-шифрования
Программное обеспечение, которое широко используется для шифрования передачи данных по Сети, оказалось уязвимым. Эксперты рекомендуют пользователям Интернета на всякий случай поменять все свои пароли к почте, соцсетям и другим сервисам.
Уязвимость, которая получила название Heartbleed, была обнаружена во вторник в ПО с открытым исходным кодом OpenSSL. Оно используется большинством сайтов, в том числе крупнейшими, для шифрования коммуникаций пользователей. Yahoo является крупнейшим сайтом из тех, которые точно были подвержены уязвимости. В то же время, Google, Microsoft, Twitter, Facebook, Dropbox и ряд других крупных сайтов ее, судя по всему, избежали. Всего OpenSSL используют около 2/3 всех серверов в Интернете.
Согласно размещенному на GitHub отчёту, среди 10 тысяч тестированных более фаворитных ресурсов 628 оказались подвержены ошибке, в том числе Yahoo, Flickr, StackExchange, Avito, SteamCommunity и многие другие. Некоторые исследователи заявили, что они смогли получить имена и пароли пользователей Yahoo.
Обнаружившие Heartbleed эксперты по компьютерной безопасности предупреждают, что последствия для сотен миллионов пользователей Интернета могут оказаться самыми серьезными. Уязвимость позволяет перехватывать часть данных из памяти сервера, в которой могут оказаться любые персональные данные, включая пароли и номера кредитных карт.
Кроме того, Heartbleed позволяет злоумышленникам завладеть копиями цифровых ключей шифрования сервера, чтобы затем создать его фальшивую копию или расшифровать коммуникации с этим сервером, в том числе имевшие место в прошлом.
С точки зрения серьезности уязвимости - то есть потенциальных возможностей, которые она дает в руки хакерам - и огромного числа подверженных ей серверов, Heartbleed является крупнейшей угрозой такого рода, обнаруженной за последние годы. Что еще хуже, "дыра" оставалась открытой очень долго - появилась она, по словам исследователей, около двух лет назад.
Причем агентству национальной безопасности США было известно о уязвимости на протяжении двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации.
Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователям же следует поменять свои пароли.
Heartbleed также затронула оборудование, которым пользуются в домашних сетях и на предприятиях: маршрутизаторы, коммутаторы и файерволлы. Устранить ошибку в "железе", однако, намного сложнее. Во-первых, компании, как правило, редко проверяют состояние сетевого оборудования и неохотно его обновляют. Во-вторых, покупкой нового роутера проблему можно и не решить, т.к. он может поставляться с уязвимой версией OpenSSL.
Например, в Cisco признали, что Heartbleed подвержены 16 роутеров, еще 65 моделей проверяются на предмет ошибки. А Juniper ограничилась релизом нескольких патчей для своего VPN-софта. "Заплатки" для оборудования обеих компаний должны выйти в течение ближайших дней.
Не стал исключением и Android. В заявлении Google относительно подверженности их сервисов данной уязвимости указан Android версии 4.1.1 (Jelly Bean). Необходимо как можно скорее обновить версию Android (если производитель устройства выпустил свою адаптированную версию прошивки).
Брюс Шнайер, эксперт по информационной безопасности, оценил степень опасности уязвимости по десятибалльной шкале в 11 баллов. Heartbleed — пожалуй, наиболее опасная уязвимость в истории Интернета.
Из всех сайтов только pinterest которым я и так не пользуюсь прислал что мол их это затронуло и они просят сменить пароль. Остальные вся зараза молчат. По словам экспертов эта уязвимость есть на каждом третьем сайте. так что посмотрим во что это все выльется. А по статье причем тут АНБ?) Чукча конечно не писатель) чукча читатель, но можно было просто написать что слежение АНБ с их технологиями итд итп это по сравнению с SSL подглядывание в замочную скважину.
АА тока щя на хабре прочитал) что АНБ оказывается всё знало. Инфа от Bloomberg и их двух независимых источников. Исходя из последних событий в такое запросто конечно можно поверить). Но сами АНБ отрицают) Но АНБ вряд ли кто поверит. Слишком уж они себя запятнали.
Примечательно, что у Apple ни OS X, ни iOS и другие сервисы не подвержены уязвимости. Просто повезло?)
+
Вообще эпл если есть какой косяк она старается его исправить. такое уже было. Так что может просто ее нету. Хотя со стороны обычных юзеров которые в наше время привыкли во всем видеть заговор (время такое) молчание со стороны эпл может быть расценено по другому)
В том то дело, что в официальном заявлении эпл говорит, что у они не подвержены такой уязвимости. Вот и возникает чувство, что наверное просто повезло