Популярная система шифрования OpenSSL оказалась небезопасна

10.04.2014

Обнаруженный «баг» (ошибка в программе) получил название Heartbleed ( heart is bleeding — сердце кровью обливается). По мнению экспертов, он является одним из самых серьезных изъянов в системе информационной безопасности, возникших за последние годы.

Специалисты компании Google.Inc и фирмы Codenomicon, специализирующейся на информационной безопасности, обнаружили, что ошибка, допущенная при создании криптографического пакета OpenSSL, позволяет хакерам получить доступ к данным пользователей, сообщает Reuters.
Половина сайтов во всем мире, работающие с информацией, которая должна быть защищена, используют программное обеспечение Open SSL. Это сайты, на которых пользователи вводят персональные данные, пароли, номера банковских карт – они предоставляют, например, услуги электронной почты или онлайн-банкинга. Адрес такого сайта отображается в адресной строке как «HTTPS…».

Хакеры из международной группы киберпреступников признали вину в США.

Среди ресурсов, которые могли пострадать от уязвимости этого программного обеспечения, называют Yahoo. Как заявил представитель компании сайту TechCrunch, в настоящее время приняты меры, чтобы обезопасить данные пользователей Yahoo Search, Yahoo Mail, Yahoo Finance, Flickr, Tumblr и т.д.

Разработчики OpenSSL уже выпустили обновления («заплатку»), которые позволят информировать пользователей о том, что их данным, таким как пароли, ключи и т.п., угрожает хакерская атака.

Мы тестируем некоторые из наших собственных услуг на предмет их подверженности атакам», — говорится на сайте heartbleed.com, созданном Codenomicon специально для информирования пользователей об угрозе со стороны систем шифрования. На сайте, объяснена суть проблемы, масштабы угрозы, которую она несет, и предлагаются пути решения — в частности, там можно проверить, уязвим ли конкретный ресурс, использующий ту или иную версию OpenSSL.

Специалисты по информационной безопасности обеспокоены тем, что далеко не все предполагаемые жертвы атак могут быть проинформированы об утечке данных, поскольку «баг» существует уже около двух лет.

Крис Энг, руководитель исследований в области программного обеспечения фирмы Veracode, предполагает, что сотни и тысячи серверов, как веб-сайтов, так и почтовых сервисов, необходимо «залатать» как можно скорее, чтобы защитить их от атак хакеров, которые поспешат воспользоваться широко известной теперь уязвимостью криптографического пакета.