В ночь на 8 апреля было объявлено об ошибке в программном пакете OpenSSL. Как выяснилось, баг, существовавший как минимум с 2012 года, позволяет третьим лицам получить доступ к оперативной памяти компьютера и данным пользователей, включая пароли, переписку и ключи шифрования. При этом следов проникновения в систему не остается — использовать уязвимость можно совершенно незаметно для жертвы.
Уязвимость была обнаружена некоторое время назад двумя независимыми группами исследователей: сотрудники Google и специалисты из компании Codenomicon. Последние создали сайт
В числе сайтов, использующих уязвимую библиотеку OpenSSL — yahoo.com, торрент-трекер kickass.to, фотосервис flickr.com, онлайн-аукцион avito.ru, игровой форум steamcommunity.com. Список некоторых крупнейших сайтов, проверенных в связи с обнаруженной уязвимостью, можно найти
TheRunet попросил отечественных экспертов в области интернет-безопасности рассказать о природе обнаруженной уязвимости, масштабе угроз и о том, как пользователям защитить свои данные.
«При использовании уязвимости не остается следов»
«Дефекты в TLS/SSL будут находить все чаще»
«Ущерб и риски могут быть колоссальны»
«До последнего времени ошибка не эксплуатировалась»
Для устранения уязвимости разработчики OpenSSL уже выпустили патч —
Вскоре после того, как была обнаружена ошибка OpenSSL, некоторые СМИ со ссылкой на различных исследователей, работающих в крупнейших IT-компаниях, сообщали, что даже после установки обновления система будет по-прежнему уязвима. Если допустить, что за время существования бага злоумышленникам удалось получить доступ к секретным ключам шифрования, любой патч окажется неэффективным.
Однако большинство опрошенных theRunet специалистов этих опасений не разделяют. Пользователям рекомендуют дождаться, когда владельцы веб-сайтов обновят уязвимую библиотеку, а потом поменять собственные логины и пароли.
Как правило, уязвимости столь высокого уровня критичности появляются не чаще нескольких раз в год. Однако методы атак и анализа программного кода постоянно улучшаются, можно ожидать, что в ближайшем будущем в популярных криптобиблиотеках найдут еще немало серьезных ошибок.