В широко используемом веб инструменте найдена опасная уязвимость

В некоторых версиях очень популярного набора бесплатных инструментов шифрования сайтов OpenSSL была обнаружена опасная уязвимость, названная специалистами Google и Codenomicon «Сердечное кровотечение» (Heartbleed) и позволяющая получать данные, которые должны быть скрыты от посторонних глаз. Инструменты OpenSSL применяются чуть ли не в двух третях ресурсов, использующих HTTPS-соединения, так что опасность такой уязвимости трудно переоценить.Согласно опубликованному на GitHub отчёту, среди 10 тысяч протестированных наиболее популярных ресурсов 628 оказались подвержены ошибке, в том числе Yahoo, Flickr, StackExchange, Avito, SteamCommunity и многие другие. Некоторые исследователи заявили, что они смогли получить имена и пароли пользователей Yahoo.

Многие другие ресурсы вроде Google, Amazon, и eBay, согласно тестам, оказались избавлены от проблемы. После обнародования в понедельник данных об уязвимости владельцы веб-сайтов, включая Yahoo, начали спешно исправлять проблему. Представитель Yahoo отметила, что компания уже внесла соответствующие коррективы.

OpenSSL используется министерствами обороны и национальной безопасности США, на своём сайте клиентам Amazon советовала пользователям AWS применять OpenSSL для шифрования своих сайтов. В своём блоге Amazon заявила, что уже почти устранила проблему для всех клиентов AWS.

Развитием OpenSSL руководит команда из четырёх европейских программистов, только один из которых считает это занятие своей основной работой. Таким образом, налицо явный недостаток ресурсов для столь важного протокола веб-шифрования, несмотря на рост опасений относительно атак злоумышленников и слежки спецслужб.

Веб-сайты всё активнее используют шифрование для защиты важных данных пользователей вроде имён, паролей, номеров кредитных карт и так далее. Это усложняет хакерам задачу по перехвату передаваемой по каналам связи информации. К такому типу защиты можно отнести криптографические протоколы SSL (Secure Sockets Layer — уровень защищённых сокетов) и TLS (Transport Layer Security — безопасность транспортного уровня), широко применяемые для защиты информации, передаваемой между клиентом и сервером.

Веб-серверы, использующие уязвимые версии инструментов OpenSSL, хранят часть данных в незащищённой области памяти. Причём как хакер может получить данные с уязвимого сервера, так и сервер злоумышленника в состоянии считать незащищённую область оперативной памяти клиентской системы. Полученную информацию можно использовать для мониторинга активности или даже извлечения важных данных об учётных записях. При этом нет никаких ограничений на местоположение клиентской системы и сервера — атаку можно осуществлять из любой точки сети.

Создание криптографического кода — сложная задача, так что многие владельцы серверов предпочитают использовать бесплатные инструменты OpenSSL, выпущенные изначально в конце 1990-х. Президент организации OpenSSL Software Foundation, занимающейся поиском средств для команды разработчиков, Стив Маркус (Steve Marques) отмечает, что в 2013 году бюджет фонда был менее $1 млн. По его мнению, дело разработки и поддержки системы можно было бы улучшить, например, проводя официальные ревизии кода.

Исследователи отмечают, что ошибка Heartbleed присутствует в исходном коде OpenSSL почти два года. Большая часть веб-сайтов оказались застигнуты врасплох уязвимостью. «Если вам необходима строгая конфиденциальность и приватность, — отметил президент известной службы Tor Project Роджер Динглдайн (Roger Dingledine), — вам лучше в ближайшие дни подальше держаться от Интернета, пока всё не образуется и уязвимость не будет устранена».Материалы по теме: