Heartbleed – новая и очень серьезная угроза безопасности

Вечером в понедельник специалисты компании Codenomicon и исследователь Google Нил Мита сообщили об обнаружении чрезвычайно опасной уязвимости. Она получила официальное наименование CVE-2014-0160, однако гораздо чаще используется предложенное Codenomicon название Heartbleed. Ему не откажешь в точности: Heartbleed способен заставить схватиться за сердце многие тысячи пользователей.

Уязвимость коренится в программном обеспечении с открытым кодом доступа OpenSSL, которое чрезвычайно широко используется в сети для шифрования данных. Heartbleed позволяет расшифровывать эти данные и извлекать из памяти серверов конфиденциальную информацию, включая имена учетных записей, пароли и номера кредитных карт. Также с помощью Heartbleed киберпреступники в состоянии получить копии цифровых подписей серверов, что, теоретически, позволяет им выдавать за легитимные серверы свои собственные, созданные для кибератак.

Специалисты оценивают нынешнюю угрозу как одну из самых серьезных за последнее время. Она потребует существенных изменений от множества веб-сайтов, а очень большому числу пользователей предстоит в обязательном порядке сменить свои пароли. На данный момент самой крупной жертвой Heartbleed оказалась Yahoo. Специалисты сообщают о многих сотнях паролей от учетных записей Yahoo, уже появившихся в сети, и о чрезвычайной легкости, с которой добываются такие пароли в ходе тестовых атак, организованных самими исследователями.

Yahoo, впрочем, уже заявила об устранении уязвимости в основных своих сервисах и заверила, что в ближайшее время ликвидирует ее полностью. Однако очевидно, что список сайтов и сервисов, пострадавших от Heartbleed, будет в ближайшее время только пополняться.

Специалист по криптографии Филиппо Вальсорда создал и разместил в сети инструмент для проверки веб-сайтов на наличие уязвимости - http://filippo.io/Heartbleed/. В данный момент, согласно его данным, Heartbleed не затронул ведущие российские сервисы – такие как Yandex, Mail.ru и ВКонтакте, а также таких мировых лидеров как Google, Microsoft, Twitter, Facebook и Dropbox. Тем не менее, эксперты рекомендуют пользователям сохранять максимальную осторожность. Они советуют проверять ресурсы с помощью предложенного инструмента на наличие уязвимости. При этом в случае положительного ответа менять пароль на пострадавшем ресурсе следует не сразу, а лишь после официального заявления администраторов о том, что уязвимость устранена. Кроме того клиентам онлайн-банкинга стоит уделить повышенное внимание состоянию своих счетов, а всем пользователям – в очередной раз задуматься над тем, чтобы использовать разные пароли для каждого из ресурсов, на котором создается учетная запись.