Вести.net Cлежка АНБ - невинная шалость по сравнению с "дыркой" в пакете OpenSSL

Новый скандал с уязвимостью интернет-соединений, как пишут вполне авторитетные издания, может стать крупнейшим за всю историю. То есть, таким, что слежка АНБ покажется невинным подглядыванием в замочную скважину.

Исследователи из Google и небольшой компании Codenomicon, которая занимается интернет-безопасностью, нашли маленькую, но очень неприятную лазейку в наиболее распространенном в мире криптографическом пакете OpenSSL. Это инструментарий, который позволяет разработчикам создавать защищенные интернет-соединения там, где это необходимо. При этом, простому пользователю про SSL, как правило, ровным счетом ничего не известно. Так как это исключительно инструмент для разработчиков, который используется в серверном ПО.

Но сталкиваемся мы с ним постоянно: почта, сетевые платежи, пароли на форумах, в соцсетях, все это, по большей части, защищено именно SSL. Этот программный пакет бесплатный, открытый и, как считалось до недавнего времени, надежный. Так что, к настоящему моменту абсолютное большинство всех "безопасных" интернет-соединений защищаются именно им. Теперь большинство из них — в группе риска.

Вячеслав Закоржевский, руководитель группы исследования уязвимостей "Лаборатории Касперского": "Где-то две трети всего Интернета построены как раз на платформе SSL. Можно сказать, что на двух из трех сайтов злоумышленники могут попробовать атаковать и получить конфиденциальную информацию".

Уязвимость под названием Heartbleed закралась в механизм шифрования из-за банальной ошибки программиста. Надо сказать, что OpenSSL как компания существует на добровольные пожертвования. Из четырех программистов, которые пишут этот инструментарий, только один делает это на постоянной основе. Для остальных это что-то вроде хобби. Вообще, удивительно, что алгоритм стал настолько популярным, а проблемы начались только сейчас. Так вот, один из программистов OpenSSL случайно сделал дыру, которая позволяет злоумышленнику забрать маленький — всего 64 килобайта за один раз — кусочек информации, которая находится в оперативной памяти защищенного сервера или компьютера.

Эти 64 килобайта выбираются в случайном порядке. Но примитивная программа, способная постоянно отправлять запросы и черпать такими "чайными ложками" информацию из оперативной памяти жертвы, позволяет добиться серьезного результата. Именно в оперативной памяти при создании безопасного соединения содержатся все данные, которые пользователь больше всего боится потерять: логины, пароли, в том числе и временные, всевозможные ключи шифрования и так далее.

"Если злоумышленник пошлет специальную информацию на этот веб-сервер, где находится уязвимость, он может получить данные, которые передавал пользователь. То есть, он может получить номера, например, кредитных карточек. Ну и, соответственно, использовать их в своих целях. И, помимо данных одного пользователя, он может получить данные других пользователей. Или, например, получить доступ к самому серверу", — рассказывает Закоржевский.

Хакеры из компании Fox-IT, чтобы продемонстрировать масштаб бедствия, всего за пять минут добыли около ста паролей к почте Yahoo. И это за пять минут. А действует уязвимость, ни много ни мало, два с лишним года. И продолжает действовать по сей день. Главный вопрос сейчас — знали ли о ней злоумышленники, успели ли воспользоваться. Ответить на него пока не может никто.

"Дело в том, что атаки можно провести таким образом, что даже невозможно будет обнаружить атакующего, потому что атака не требует никакого вовлечения пользователя, и любой человек может атаковать любой сервер и получить данные. Естественно, надо понимать, что даже если какая-то крупная организация была атакована, и они смогли с помощью распознавания трафика это понять, вряд ли кто-то будет кричать об этом", — объясняет Закоржевский.

Сейчас — всего за пару дней — появилось несколько ресурсов, которые позволяют проверить на безопасность подключения тот или иной сайт, введя его адрес в поисковое окно. Так как уязвимость касается лишь одной конкретной версии OpenSSL, не затрагивая более старые или более новые, повсеместной небезопасности, на самом деле, не наблюдается. Впрочем, в черный список попало немало "больших" имен, таких, как тот же Yahoo или Flickr.

И совершенно неизвестно, сколько еще маленьких. Так что, эксперты по безопасности рекомендуют проверять все ресурсы. На полную ликвидацию этой "дыры" в SSL может уйти несколько дней. Патч, ликвидирующий ее, уже выпущен, но просто применить его недостаточно. Нужно будет еще обновить все цифровые сертификаты безопасности, а это долго и дорого. Поэтому, уязвимость может остаться в ходу на какое-то время, хоть и в меньших объемах. Администрация "подпольного Интернета", сети Tor, рекомендует на это время избежать любых контактов со всемирной сетью.