В середине недели мировое интернет-сообщество взбудоражила новость о том, что в популярном протоколе шифрования OpenSSL найдена ошибка, присутствовавшая там уже в течение двух лет. Недосмотр программиста позволяет любому желающему читать из памяти серверов, где хранятся пользовательские пароли к сайтам, социальным сетям, платежным системам, файловым хранилищам, почтовым службам, банковским сервисам. Главная особенность найденной уязвимости — нет никаких способов узнать, воспользовался ли кто-то такими возможностями за прошедшее время, или ошибку нашли раньше, чем о ней узнали хакеры. Эксперты уже назвали произошедшее «самой серьезной веб-уязвимостью в истории Интернета».
Протокол OpenSSL могут использовать все интернет-серверы, программное обеспечение которых основано на открытых операционных системах Apache и Nginx, а это более 66% всех интернет-сайтов в мире. Когда у вас в адресной строке появляется надпись HTTPS и символ замочка — это оно и есть. По этой причине найденную «дыру» назвали Heartbleed Bug (от heart is bleeding — сердце кровью обливается).
«Любой человек со средним уровнем знаний в области написания компьютерных программ, может потенциально взломать дефектную систему и получить в свое распоряжение персональные данные», — приводит BBC слова заместителя директора компании NCC Group Олли Уайтхауса. Хакеры из компании Fox-IT, чтобы продемонстрировать масштаб бедствия, всего за пять минут добыли около ста паролей к почте Yahoo.
Разумеется, дыра была оперативно «заштопана», а программное обеспечение большинства «попавших под раздачу» серверов, вероятно, уже обновилось. Однако пароли или данные кредитных карт уже могли оказаться в руках злоумышленников, и остается вопрос — что делать нам, простым пользователям? Неужели придется срочно менять все пароли ко всем сайтам?
При ближайшем рассмотрении оказывается, что не все так плохо. Список потенциально опасных сайтов, пользователей которых настоятельно просят сменить пароли, возглавляют сервисы компании Yahoo!: почта и известный фотохостинг Fluckr, которые в нашей стране не слишком популярны. Защищенный протокол Https может быть основан далеко не только на «пострадавшем» OpenSSL, а те, кто его использует, совершенно необязательно применяли именно «дырявую» версию.
По сообщениям прессы и компаний, всерьез беспокоиться надо всего лишь примерно 10 миллионам пользователей в мире. Ни один крупный сервис, популярный среди россиян, включая российские социальные сети, Facebook, хранилища и сервисы Apple и Google, отечественные платежные системы и почтовые сайты, «Сбербанк онлайн» и аналогичные службы других банков, не входят в число потенциально опасных. Озаботиться надо, пожалуй, только тем, кто пользуется какими-то мелкими и малоизвестными сервисами — они попадают в зону наибольшего риска, потому что могут просто полениться сменить программы вовремя. Совершенно вне опасной зоны по определению находятся сервисы Microsoft, где, вероятно, сейчас удовлетворенно потирают руки.
Специалисты компании Codenomicon, обнаружившей ошибку, настоятельно рекомендуют обновить свои операционные системы тем, кто использует Linux. Список потенциально опасных версий можно найти на сайте Heartbleed.com.
Источник