Ошибка в библиотеке OpenSSL поставила под угрозу безопасность зашифрованной связи во всем мире

09:30 11.04.2014 |   1528



Использование этой уязвимости злоумышленниками не оставляет следов в журналах компьютеров, и специалисты не могут установить, подвергалась ли система атаке. За два года с момента выхода уязвимой версии OpenSSL могло быть похищено множество ключей.

OpenSSL - HeartbeatОшибка в широко используемой библиотеке OpenSSL, реализующей протоколы шифрования SSL и TLS, присутствовала с декабря 2011 года и была исправлена только в выпущенной 7 апреля этого года версии OpenSSL 1.0.1g. Она была обнаружена тремя специалистами из компании Codenomicon и сотрудником Google Нилом Мехтой.

Ошибка была сделана в реализации расширения протокола TLS под условным названием Heartbeat и из-за этого получила название Heartbleed. Библиотеку OpenSSL используют в работе миллионы веб-сайтов во всем мире и, как предупреждают специалисты, масштаб проблемы, вызванной наличием ошибки, чрезвычайно велик. Ошибка позволяет перехватывать информацию, передаваемую по защищенному каналу связи, похищать ключи шифрования и сертификаты, а следовательно, и создавать поддельные сайты, успешно проходящие стандартную проверку подлинности. Кроме того, использование этой уязвимости злоумышленниками не оставляет следов в журналах компьютеров, и специалисты не могут установить, подвергалась ли система атаке. За два года с момента выхода уязвимой версии OpenSSL могло быть похищено множество ключей, предупреждают они. Рекомендуется не только обновить OpenSSL до последней версии, но и заново создать ключи шифрования, а рядовым пользователям систем онлайн-банкинга, почтовых серсисов, сервисов облачного хранения данных и т.д. — срочно поменять пароли.


Теги: Информационная безопасность