|
Тази седмица една от основните теми в световните IT медии, а и не само, беше за откритата уязвимост в OpenSSL, технологията, която се използва в милиони сайтове по света за обезпечаване на безопасността на данните ви.Heartbleed, както бе кръстенa уязвимостта, представлява бъг, който позволява на всеки да чете паметта на системите, защитени от уязвимата версия на OpenSSL. Уязвимостта компрометира тайните ключове, които се използват за идентифициране на доставчика на услугата и криптира трафика, логин данните (име и парола) и съдържанието, което бива защитавано. При осъществяване на атаката, някой може да прихване до 64КБ от паметта от конкретен сървър. Атаката не оставя следи и по този начин не може да бъде засечена, а атакуващата страна може да прихваща по 64КБ от паметта, колкото си пъти поиска, обяснява Брус Шнайер на своя блог, допълвайки, че "по скалата от 1 до 10, уязвимостта е 11". "Това е катастрофално", пише той. Скоро след разкритието на уязвимостта беше издадено и обновление, което изправя проблема, но вземайки предвид, че OpenSSL се използва от половината сайтове в Интернет и това, че уязвимостта е останала "под радара" на специалисти по информационна защита и криптолози цели две години, нещата пак не изглеждат толкова успокояващо.Кой е виновен? Защо е направено? Разбира се, не закъсняха спекулациите, подозренията и едва ли не апокалиптични сценарии за това, което следва. Не е сигурно кой и дали въобще е експлоатирана въпросната уязвимост досега. Замеси се разбира се и името на Агенцията за национална сигурност на САЩ (АНС), китайските хакери и кой ли не. А истината за причината е тривиална: недоглеждане.Става дума за специалистът, който в навечерието на 2012г. изпраща към OpenSSL обновление към технологията, което днес е причина за всички главоболия."Аз съм отговорен за грешката, защото аз съм човекът написал кода и пропуснах необходимата валидация, поради недоглеждане (било е 31-ви декември - б.а.). За съжаление тази грешка е минала през стандартната проверка по-късно и е била въведена в официалната версия", заявява пред Guardian Роберт Зегелман (Robin Seggelmann), автор на злощастното обновление.Според материал на Би Би Си има доказателства, че е започнало сканиране за уязвимостта в Мрежата, макар и да не е ясно, дали това са специалисти по инфозащита или престъпници, а Шон Галахър от Ars Technica пише, че месеци преди разкритието множество сайтове са били обект на сканиране за уязвимостта от трети страни, което означава, че вероятно уязвимостта вече е експлоатирана, което предположение Галахър впоследствие променя, споделяйки, че е възможно да е сгрешил в заключенията си. Но подобни "грешки" е нормално да бъдат допускани сякаш, когато става дума за проблем, чиито потенциални последствия биха могли да са катастрофални за милиони и техните данни.И уязвимостта не засяга единствено уеб-сайтове, а и мрежовото оборудване. Computing Magazine съобщава, че уязвимостта засяга и продукти на Cisco и Juniper. "Фактът, че уязвимостта е открита в мрежово оборудване, в това число и хардуерни защитни стени може да означава, че ситуацията е даже по-сериозна от очакваното", пише Роб Уоу от ESET. Говорейки пред "Уолстрийт Джърнъл", представител на Juniper споделя: "Това не звучи, като нещо, което можеш да оправиш с едно движение. Не знам колко бързо ще може да се разреши проблема".И споменавайки спекулациите, немалко специалисти в Интернет се хвърлиха да обясняват, че трябва да си сменим веднага всички пароли в Интернет (и ще помогне, ако сървърът продължава да е уязвим на бъга?), а Робърт Макмилан от Wired нарече ситуацията "катастрофална" и призова за "рестартиране на Интернет". Повече за уязвимостта и различните мнения може да прочетете тук (англ.).Що се отнася до оправянето на проблема, то от OpenSSL реагираха с издаването на бюлетин по сигурността още в началото на седмицата, в който се съветват всички засегнати от уязвимостта да обновят версията на платформата до OpenSSL 1.0.1g. |
|
