Связаться с нами

Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж

2014

FAQ: Узявимости Heatbleed

Heartbleed (CVE-2014-0160) — ошибка (переполнение буфера) в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Информация об уязвимости была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года.
На момент объявления об ошибке количество уязвимых веб-сайтов оценивалось в полмиллиона – около 17% защищённых веб-сайтов Интернета.

В чем состоит суть обнаруженной уязвимости в OpenSSL?

Эта уязвимость позволяет скопировать 64 килобайта из оперативной памяти сервера. Если мы говорим о сервере, там могут оказаться и пароли, и ключи шифрования, причем в открытом, незашифрованном виде. Нельзя гарантировать, что именно в этих 64 КБ будут эти данные, но атаку можно многократно повторять, вплоть до получения необходимых данных.
Если злоумышленникам удалось выкрасть закрытый (секретный) ключ сертификата сайта, то они смогут проводить атаки типа «человек посередине», т.е. вклиниваться между клиентом и сервером, выдавая себя за сервер для клиента, и выдавая себя за клиента для веб-сервера. Это позволит перехватывать расшифровывать весь обмен данными, идущий по шифрованному каналу.

Действительно ли данная уязвимость настолько опасна, как нам это преподносят СМИ?

Да, уязвимость очень опасная. Брюс Шнайер (известный эксперт по безопасности) оценил на 11 баллов по 10-бальной шкале.

Как могут обезопасить себя обычные пользователи?

Обычные пользователи, не обладающие специальными знаниями в IT — никак. Продвинутые могут скачать последнюю версию сканера nmap и проверять каждый ресурс, где они вводят свои данные, на подверженность данной уязвимости.

Каков шанс, что другие интернет-протоколы имеют такую уязвимость?

К сожалению, шанс есть. Очень многие, повсеместно использующиеся протоколы, являются «свободным ПО», которое разрабатывается энтузиастами. Никто не несет финансовой ответственности за наличие уязвимостей в таких протоколах.

Какие меры предпринимают банки для решения этой проблемы?

Разумеется, после того, как сведения об уязвимости были опубликованы, специалисты начали спешно устранять проблему. Но в сложных системах, таких, как банковские инфраструктуры, это небыстрый процесс. Кроме того, существует возможность компрометации закрытого ключа шифрования – это значит, необходимо получить новый сертификат сайта. В зависимости от удостоверяющего центра, это может занимать от нескольких часов до двух недель.

Сообщить об инциденте

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время.