Как сердечная ошибка влияет на вас

  • 2019

Фото: Коденомикон

Независимые исследователи из Codenomicon и Google Security обнаружили серьезную ошибку, встроенную в SSL, популярную технологию шифрования в Интернете. Эта уязвимость SSL, получившая название «Ошибка Heartbleed», «оставила [большое] количество закрытых ключей и других секретов, доступных для Интернета», с «простотой эксплуатации», так как злоумышленники не оставляют следов своего вторжения, согласно Heartbleed.com, Сайт посвящен ответам на общие и технические вопросы об ошибке. Вчера группа кибербезопасности CNW заявила, что ошибка может «легко украсть ключи шифрования сервера, имена пользователей, пароли, мгновенные сообщения, личные сообщения электронной почты, транзакции и конфиденциальную деловую информацию».

Как это работает? Стандарт SSL имеет опцию сердцебиения (отсюда и название) и позволяет компьютеру отправлять небольшое сообщение для проверки соединения. Codenomicon и Google обнаружили, что кто-то может создать хитрое сердце, чтобы обмануть SSL и раскрыть секреты в памяти или оперативной памяти компьютера.

Вот краткий обзор Heartbleed.com: «Ошибка Heartbleed позволяет любому пользователю Интернета читать память систем, защищенных уязвимыми версиями программного обеспечения OpenSSL. Это ставит под угрозу секретные ключи, используемые для идентификации поставщиков услуг и шифрования трафика. имена и пароли пользователей и фактический контент. Это позволяет злоумышленникам подслушивать сообщения, красть данные непосредственно у служб и пользователей и выдавать себя за службы и пользователей ».

По словам исследователей, серверы, подверженные этой ошибке, включают Apache и nginx, на которых работают две трети всех веб-сайтов. Уязвимость была введена в конце 2011 года и была выпущена с OpenSSL 1.0.1 14 марта 2012 года. После того, как они обнаружили ошибку несколько дней назад, исследователи связались с командой OpenSSL, которая затем создала новый выпуск для решения проблемы до того, как ошибка была обнародована.

Что могут сделать пользователи? К сожалению, не так много. Активные пользователи Интернета, такие как Yahoo, Google, Microsoft, Facebook, уже предприняли шаги для реализации новой версии SSL. Но поскольку слабость существовала так долго, лучше сбросить все ваши пароли, так как они могли быть перехвачены. Кроме того, один веб-сайт предназначен для проверки защиты любого сайта, который вы хотите посетить.

Возможно, Tumblr лучше всего изложил это в своем блоге: «Тот маленький значок замка (HTTPS), которому мы все доверяли для обеспечения безопасности наших паролей, личных электронных писем и кредитных карт, фактически делал всю эту личную информацию доступной для всех, кто знал о эксплойт. Это может быть хороший день, чтобы позвонить больным и потратить некоторое время на то, чтобы изменить свои пароли повсюду, особенно такие службы с высоким уровнем безопасности, как электронная почта, хранение файлов и банковские операции, которые могут быть скомпрометированы этой ошибкой ».

ВИДЕО.

Следующая статья