Найдена критическая уязвимость в популярном алгоритме интернет-шифрования

Программное обеспечение, которое широко используется для шифрования передачи данных по Сети, оказалось уязвимым. Эксперты рекомендуют пользователям Интернета на всякий случай поменять все свои пароли к почте, соцсетям и другим сервисам.

Уязвимость, которая получила название Heartbleed, была обнаружена во вторник в ПО с открытым исходным кодом OpenSSL. Оно используется большинством сайтов, в том числе крупнейшими, для шифрования коммуникаций пользователей. Yahoo является крупнейшим сайтом из тех, которые точно были подвержены уязвимости. В то же время, Google, Microsoft, Twitter, Facebook, Dropbox и ряд других крупных сайтов ее, судя по всему, избежали. Всего OpenSSL используют около 2/3 всех серверов в Интернете.

Согласно размещенному на GitHub отчёту, среди 10 тысяч тестированных более фаворитных ресурсов 628 оказались подвержены ошибке, в том числе Yahoo, Flickr, StackExchange, Avito, SteamCommunity и многие другие. Некоторые исследователи заявили, что они смогли получить имена и пароли пользователей Yahoo.

Обнаружившие Heartbleed эксперты по компьютерной безопасности предупреждают, что последствия для сотен миллионов пользователей Интернета могут оказаться самыми серьезными. Уязвимость позволяет перехватывать часть данных из памяти сервера, в которой могут оказаться любые персональные данные, включая пароли и номера кредитных карт.

Кроме того, Heartbleed позволяет злоумышленникам завладеть копиями цифровых ключей шифрования сервера, чтобы затем создать его фальшивую копию или расшифровать коммуникации с этим сервером, в том числе имевшие место в прошлом.

С точки зрения серьезности уязвимости - то есть потенциальных возможностей, которые она дает в руки хакерам - и огромного числа подверженных ей серверов, Heartbleed является крупнейшей угрозой такого рода, обнаруженной за последние годы. Что еще хуже, "дыра" оставалась открытой очень долго - появилась она, по словам исследователей, около двух лет назад.

Причем агентству национальной безопасности США было известно о уязвимости на протяжении двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации.

Баг присутствует во всех версиях веток OpenSSL 1.0.1 и 1.0.2-beta, включая 1.0.1f и 1.0.2-beta1. Исправленная версия — 1.0.1g, которую всем пострадавшим необходимо установить немедленно, после чего сгенерировать новые ключи и сертификаты и предпринять прочие меры безопасности. Пользователям же следует поменять свои пароли.

Heartbleed также затронула оборудование, которым пользуются в домашних сетях и на предприятиях: маршрутизаторы, коммутаторы и файерволлы. Устранить ошибку в "железе", однако, намного сложнее. Во-первых, компании, как правило, редко проверяют состояние сетевого оборудования и неохотно его обновляют. Во-вторых, покупкой нового роутера проблему можно и не решить, т.к. он может поставляться с уязвимой версией OpenSSL.

Например, в Cisco признали, что Heartbleed подвержены 16 роутеров, еще 65 моделей проверяются на предмет ошибки. А Juniper ограничилась релизом нескольких патчей для своего VPN-софта. "Заплатки" для оборудования обеих компаний должны выйти в течение ближайших дней.

Не стал исключением и Android. В заявлении Google относительно подверженности их сервисов данной уязвимости указан Android версии 4.1.1 (Jelly Bean). Необходимо как можно скорее обновить версию Android (если производитель устройства выпустил свою адаптированную версию прошивки).

Брюс Шнайер, эксперт по информационной безопасности, оценил степень опасности уязвимости по десятибалльной шкале в 11 баллов. Heartbleed — пожалуй, наиболее опасная уязвимость в истории Интернета.