(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Обнаружен дефект OpenSSL. Пользователей просят сменить пароли

Источник: biipi

Финские программисты совместно с компанией Google обнаружили дефект в библиотеке OpenSSL. Уязвимость присутствовала в известном и повсеместно используемом криптографическом пакете с 2012 года. Данная "дыра" позволяла хакерам не только похищать пароли, но и открывать зашифрованную информацию.

Библиотека защиты передачи сетевых данных OpenSSL используется в почтовых серверах, на веб-серверах Nginx и Apache, VPN и многих других программах. Шифрование OpenSSL использовали в своей работе такие известные ресурсы, как Yahoo.com, Flickr.com, Avito.ru.

Как отмечают специалисты, все, кто знал об этой уязвимости, могли беспрепятственно и не оставляя "следов" использовать данные пользователей (пароли, платежные карты). Однако крупные ресурсы как Google, YouTube, Facebook, Wikipedia, Twitter, а также соцсеть "ВКонтакте", Яндекс и Mail.ru избежали этой проблемы.

По оценке ArsTechnica, более двух третей сайтов в мире затронула брешь в OpenSSL. Специалисты из Google и Codenomicon назвали эту уязвимость, позволяющую собирать конфиденциальные данные, "Сердечное кровотечение" (Heartbleed). Рекомендовано как можно быстрее загрузить новую версию OpenSSL 1.0.1g.

В понедельник стало известно, что система шифрования OpenSSL, широко применяющаяся для защиты данных в интернете, имеет серьезную уязвимость, делающую возможным несанкционированный доступ к множеству конфиденциальных данных. Уязвимость получила название "Кровоточащее сердце" и ставит под угрозу примерно две третьих имеющихся на сегодня веб-сайтов: благодаря ей можно получить доступ к идентификаторам и паролям пользователей. Во вторник многие интернет-компании, включая Yahoo!, заявили о модификации своих сайтов с целью защиты от этой угрозы.

OpenSSL - распространяемый бесплатно набор программ для шифрований с открытым исходным кодом, основанный на стандартах шифрования SSL и TLS (на сайтах, защищенных таким образом, в строке адреса в браузере изображается значок висячего замка). Развитием этих продуктов занимаются четыре программиста, и лишь для одного из них это основная работа. Поддержкой проекта занимается независимый фонд OpenSSL Software Foundation. По словам Стива Маркесса, президента фонда, бюджет проекта в 2013 г. был менее $1 млн. "Несомненно, проект нуждается в более эффективных кадровых ресурсах, - говорит Маркесс. - Не повредил бы и официальный аудит программного кода". Маркесс, которому сейчас 59 лет, в прошлом занимался консультированием министерства обороны. Он единственный участник фонда, являющийся жителем США. Остальные живут в Европе, это позволяет фонду избегать ограничений на экспорт технологий шифрования.

Владельцы онлайновых ресурсов стараются защищать свои сайты, но создание собственных средств шифрования - достаточно сложная вещь, и это способствовало массовому распространению пакета OpenSSL. Для многих название пакета фактически стало синонимом онлайнового шифрования. По словам Маркесса, OpenSSL используется на сайтах министерства обороны и министерства национальной безопасности США. Представители компании Amazon полагают, что их клиенты, работающие с веб-сервисами Amazon (AWS), также применяют OpenSSL. В блоге компании говорится, что к концу вторника проблема с уязвимостью для всех пользователей AWS уже была решена.

Уязвимость "Кровоточащее сердце" была характерна для некоторых версий пакета - она распространялась в сети в течение последних двух лет после появления версии OpenSSL 1.0.1. Иван Ристич, исследователь из компании Qualys, уже создал программу, позволяющую владельцу сайта проверить, угрожает ли эта уязвимость данному сайту. "Но если вы придаете действительно большое значение информационной защищенности, вам не следует пользоваться интернетом в течение нескольких дней, пока проблема не будет решена полностью", - считает Роджер Динглдайн, президент Tor Project - сервиса, позволяющего пользователю сохранить анонимность в сети.



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 10.04.2014 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Oracle Database Personal Edition Named User Plus Software Update License & Support
ESET NOD32 Антивирус на 1 год для 3ПК или продление на 20 месяцев
VMware Workstation 14 Pro for Linux and Windows, ESD
IBM DOMINO ENTERPRISE CLIENT ACCESS LICENSE AUTHORIZED USER LICENSE + SW SUBSCRIPTION & SUPPORT 12 MONTHS
TeeChart Pro VCL/FMX with source code single license
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Безопасность компьютерных сетей и защита информации
Информационные технологии: CASE, RAD, ERP, OLAP
Программирование на Microsoft Access
CASE-технологии
Программирование в AutoCAD
СУБД Oracle "с нуля"
Программирование на Visual С++
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100