Различные уязвимости или недоработки — это в какой-то степени нормально, но когда уязвимость какой-либо услуги запросто уничтожает весь смысл этой услуги — это не нормально. Многим наверно известно, что такое SSL или TLS, но даже если неизвестно, то наверняка многие замечали значок «замка» и то, как адресная строка становится зелёной во время посещения некоторого сайта, или то, как начало ссылки сайта http:// менялось на https://.
TLS (Transport Layer Security) и его предшественник SSL (Secure Socket Layers) – это криптографические протоколы. Криптографические протоколы обеспечивают безопасную передачу данных, методом шифрации (ассиметричная или симметричная) информации которая передаётся между различными узлами. Где используются такие протоколы? В приложениях, которые работают с сетью интернет. Это могут быть браузеры, программы для обмена мгновенными сообщениями, электронная почта и так далее. К примеру вы зашли на какой-то сайт и увидели, что появился «замок», адресная строка стала зелёной (это происходит не всегда) и начало ссылки сайта http:// поменялось на https:// — все это говорит о том, что на сайте установлен криптографический протокол, и что вся информация, например, данные входа на сайт передаются на ресурс в зашифрованном виде. Конечно же не во всех случаях верно судить о небезопасности сайта из-за того, что на нем не установлен криптографический протокол, так как сайт вовсе может и не нуждаться в нем.
Владельцы веб-ресурсов, или различных интернет приложений могут приобретать криптографические протоколы от различных поставщиков за деньги но существует также, довольно популярный бесплатный поставщик известный как OpenSSL. Популярен он не только потому, что бесплатен но и потому, что поставщик предоставляет криптографический пакет с открытым исходным кодом. Недавно была обнаружена очень серьёзная уязвимость в криптографическом протоколе OpenSSL названная «Heartbleed».
Что это за уязвимость?
Эта уязвимость позволяет в нормальных условиях запросто извлечь информацию, которая зашифрована протоколом SSL/TLS, с веб-ресурса. Любой пользователь интернета мог проникнуть и извлечь информацию из системы, которая защищена уязвимой версией протокола OpenSSL.
Как это предотвратить?
Была выпущена исправленная версия протокола OpenSSL, и для предотвращения кражи информации она немедленно должна быть установлена. Это касается исключительно обладателей веб-ресурсов и приложений. Если вы просто пользователь, то все, что вы можете сделать — это осведомить службу поддержки веб-ресурса которым вы пользуетесь, о наличии такой уязвимости. Есть вероятность, что они могут использовать именно этот протокол, и несмотря на то, что уязвимость обнаружили еще несколько дней назад, они могут не знать об этом.
Почему «баг» назвали Heartbleed?
«Баг» в OpenSSL заключается в расширении «Heartbeat» (сердцебиение), отвечающем за внедрение TLS/DTLS. Когда это расширение используется, то оно приводит к утечки информации из памяти сервера к клиенту и наоборот.
В чем особенность этого «бага»?
«Баг» Heartbleed оставил за собой массу доступной для всего интернета засекреченной информации и, учитывая его долгое присутствие, простоту в использовании и число атак, о которых не возможно было даже узнать, эту уязвимость надо воспринимать на полном серьёзе.
Я уверен/а, что использую веб-приложения, которые защищены протоколами безопасности других поставщиков и в которых нет этой уязвимости. Могу ли я оказаться жертвой «бага» Heartbleed?
Вполне возможно, что да. Дело в том, что сегодня часто встречаются веб-приложения с так называемыми «веб-плагинами». Они используются для того, чтобы добавить определённый функционал, и могут быть от стороннего ресурса, который может быть защищён именно протоколом OpenSSL. Это и создаёт вероятность того, что вы могли оказаться жертвой.
Я разработчик и не могу заменить протокол старой версии на новую исправленную версию, так как внёс определённые изменения в исходном коде. Могу ли я как-то исправить уязвимость сам?
Конечно, вы можете рекомпилировать OpenSSL, используя опцию –DOPENSSL_NO_HEARTBEATS. Но все же команда OpenSSL более профессионально исправит эту уязвимость. Поэтому они рекомендуют использовать версию 1.0.1g или выше для обеспечения полной уверенности в безопасности протокола.
Я использую OpenSSL. Могу ли я узнать, оказался ли мой ресурс жертвой?
Нет, использование этого «бага» не оставляет никаких следов или чего то необычного в логах.
Какие операционные системы были поставлены с уязвимой версией OpenSSL?
Следующие версии операционных систем были поставлены с уязвимой версией OpenSSL:
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
- FreeBSD 10.0 — OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
