Финские программисты совместно с компанией Google обнаружили дефект в библиотеке OpenSSL. Уязвимость присутствовала в известном и повсеместно используемом криптографическом пакете с 2012 года. Данная "дыра" позволяла хакерам не только похищать пароли, но и открывать зашифрованную информацию.
Библиотека защиты передачи сетевых данных OpenSSL используется в почтовых серверах, на веб-серверах Nginx и Apache, VPN и многих других программах. Шифрование OpenSSL использовали в своей работе такие известные ресурсы, как Yahoo.com, Flickr.com, Avito.ru.
Как отмечают специалисты, все, кто знал об этой уязвимости, могли беспрепятственно и не оставляя "следов" использовать данные пользователей (пароли, платежные карты). Однако крупные ресурсы как Google, YouTube, Facebook, Wikipedia, Twitter, а также соцсеть "ВКонтакте", Яндекс и Mail.ru избежали этой проблемы.
По оценке ArsTechnica, более двух третей сайтов в мире затронула брешь в OpenSSL. Специалисты из Google и Codenomicon назвали эту уязвимость, позволяющую собирать конфиденциальные данные, "Сердечное кровотечение" (Heartbleed). Рекомендовано как можно быстрее загрузить новую версию OpenSSL 1.0.1g.
В понедельник стало известно, что система шифрования OpenSSL, широко применяющаяся для защиты данных в интернете, имеет серьезную уязвимость, делающую возможным несанкционированный доступ к множеству конфиденциальных данных. Уязвимость получила название "Кровоточащее сердце" и ставит под угрозу примерно две третьих имеющихся на сегодня веб-сайтов: благодаря ей можно получить доступ к идентификаторам и паролям пользователей. Во вторник многие интернет-компании, включая Yahoo!, заявили о модификации своих сайтов с целью защиты от этой угрозы.
OpenSSL - распространяемый бесплатно набор программ для шифрований с открытым исходным кодом, основанный на стандартах шифрования SSL и TLS (на сайтах, защищенных таким образом, в строке адреса в браузере изображается значок висячего замка). Развитием этих продуктов занимаются четыре программиста, и лишь для одного из них это основная работа. Поддержкой проекта занимается независимый фонд OpenSSL Software Foundation. По словам Стива Маркесса, президента фонда, бюджет проекта в 2013 г. был менее $1 млн. "Несомненно, проект нуждается в более эффективных кадровых ресурсах, - говорит Маркесс. - Не повредил бы и официальный аудит программного кода". Маркесс, которому сейчас 59 лет, в прошлом занимался консультированием министерства обороны. Он единственный участник фонда, являющийся жителем США. Остальные живут в Европе, это позволяет фонду избегать ограничений на экспорт технологий шифрования.
Владельцы онлайновых ресурсов стараются защищать свои сайты, но создание собственных средств шифрования - достаточно сложная вещь, и это способствовало массовому распространению пакета OpenSSL. Для многих название пакета фактически стало синонимом онлайнового шифрования. По словам Маркесса, OpenSSL используется на сайтах министерства обороны и министерства национальной безопасности США. Представители компании Amazon полагают, что их клиенты, работающие с веб-сервисами Amazon (AWS), также применяют OpenSSL. В блоге компании говорится, что к концу вторника проблема с уязвимостью для всех пользователей AWS уже была решена.
Уязвимость "Кровоточащее сердце" была характерна для некоторых версий пакета - она распространялась в сети в течение последних двух лет после появления версии OpenSSL 1.0.1. Иван Ристич, исследователь из компании Qualys, уже создал программу, позволяющую владельцу сайта проверить, угрожает ли эта уязвимость данному сайту. "Но если вы придаете действительно большое значение информационной защищенности, вам не следует пользоваться интернетом в течение нескольких дней, пока проблема не будет решена полностью", - считает Роджер Динглдайн, президент Tor Project - сервиса, позволяющего пользователю сохранить анонимность в сети.