Heartbleed: кровоточащая рана Интернета (статья для RefNews)

Apr 15, 2014 20:55




Надеюсь, на прошлой неделе все пользователи уже сменили пароли к Google, Facebook, Instagram, Yahoo, Yandex и т.д., а админы проверили свои серверы на сайте Qualys SSL Labs. Статью ниже я написал по горячим следам для сайта RefNews, а в блоге сохраню для истории

Математически доказанная безопасность SSL-протокола, код библиотеки OpenSSL, открытый всему миру для изучения, исследования и совместной разработки, различные принципы построения безопасных сетей - все это смогло развалиться из-за одной маленькой ошибки, совершенной в всего 2-3 строчках кода!

8 апреля 2014, медленно просыпаясь от первого шока, мировые СМИ начали публиковать новости о дыре безопасности, найденной в реализации протокола SSL, предназначенном для шифрования сетевой переписки, Интернет-банкинга и других онлайн-услуг.

Из сервисов мирового уровня уязвимым оказался даже Yahoo.com, из российских - такие, как Яндекс.Почта, сайты Альфа-банка и Райфайзен-банка (по данным Habr.ru). На Yahoo.com можно было перехватывать логины и пароли пользователей и, предположительно, то же самое можно было делать и на Яндекс.Почте. Банкам, обычно использующим дополнительную авторизацию по СМС, повезло больше. Даже если бы злоумышленники перехватили логин и пароль клиента банка, без СМС они не смогли бы провести никаких финансовых операций.

Найденной ошибке в коде библиотеки OpenSSL, реализующей протокол SSL практически во всем Интернете, было дано звонкое название Heartbleed (кровотечение сердца). Хакеры-исследователи, обнаружившие проблему, добросовестно сообщили о ней как разработчикам OpenSSL, так и администраторам крупных сайтов, которые, в свою очередь, быстро обновили программное обеспечение и залатали дыру. Для администраторов остальных, обычных сайтов были оперативно (фактически за день) созданы информационные ресурсы (Heartbleed.com и др.) и странички, где можно было проверить, уязвим ли их сайт или нет, и получить нужные рекомендации по укреплению безопасности.

Казалось бы, вполне бытовая ситуация для компьютерщиков: нашли ошибку, исправили, живем спокойно дальше. Какое дело до этого обычным пользователям? Разве обычные пользователи не относятся к Интернету уже давно как к электричеству? Включил и пользуешься. Как в случае с электроприбором обычному человеку не важно, какой идет ток, подходит ли он, вреден ли он для прибора или нет, так и здесь - лишь бы была связь и сайты работали. Но тогда такие новостные ресурсы как BBC не писали бы крупными буквами:

«Специалисты советуют всем пользователям Интернета сменить свои пароли»
http://www.bbc.co.uk/news/technology-26954540

Дело вот в чем. Эта ошибка в коде библиотеки OpenSSL просуществовала аж с декабря 2011-го года. То есть те сайты, которые использовали «больную» версию библиотеки, болели все эти два с половиной года! Теперь представьте себе, что кто-то менее добросовестный, но тоже нашедший эту дыру в безопасности, мог перехватывать ваш логин в Яндекс.Почта все это время, читать вашу деловую переписку, заходить в Яндекс.Деньги под тем же паролем и пытаться что-нибудь сделать с вашими деньгами. Разве это не тревожная новость, требующая более пристального внимания?

Средство, предназначенное для защиты информации, передаваемой по Интернету, оказалось банально уязвимым перед атаками злоумышленников. Для получения секретной информации даже не нужно было взламывать операционную систему сервера. Достаточно было послать специально сформированный запрос на установку защищенного соединения, так называемое «рукопожатие», после чего сервер из-за ошибки в коде стал бы выдавать куски оперативной памяти, в которой были доступны: а) ключи и сертификаты, используемые для шифрования, б) данные из последних сеансов (кусками по 64 килобайт), в которых могли содержаться логины и пароли десятков или сотен пользователей, только что побывавших на сайте. И этим анализом данных можно было заниматься целыми днями, не оставляя практически никаких подозрительных следов в журналах сервера. Ведь совершалось только «рукопожатие», а любой публичный сервер должен отвечать на подобные запросы.

Перехват ключей и сертификатов также означал, что, имея доступ к инфраструктуре определенной сети (например, взломав сеть интернет-провайдера или какой-нибудь компании), злоумышленник мог «здороваться» с пользователями, притворяясь, скажем, Yahoo.com или Яндекс.Почтой. Если в обычной ситуации механизм проверки цифровой подписи в браузере мог бы подсказать пользователю, что сайт не прошел проверку и может быть поддельным, то в данном случае ничего такого обнаружить не получилось бы.

Какой из всего этого можно сделать вывод?

Если просто говорить о том, что делать, то всем администраторам теперь надо обновить свои серверы, библиотеки, ключи и сертификаты, а пользователям - желательно поменять все пароли, особенно пароли от электронной почты и сайтов интернет-банков.

А когда сделаем все это, остается лишь надеяться, что злоумышленники, если они знали об этой ошибке, не успели натворить много зла.

Так или иначе, снова и снова убеждаешься в том, насколько хрупок этот мир, в данном случае мир компьютерных технологий. Математически доказанная безопасность SSL-протокола, код библиотеки OpenSSL, открытый всему миру для изучения, исследования и совместной разработки, различные принципы построения безопасных сетей - все это смогло развалиться из-за одной маленькой ошибки, совершенной в всего 2-3 строчках кода!

Данное сообщение изначально опубликовано в блоге Things Inside My Heart (timh.ru). Вы можете прокомментировать здесь или в исходном блоге.

internet, software

Previous post Next post
Up