Пару месяцев назад появившееся сообщение о крупнейшей уязвимости, получившей название Heartbleed, которая поразило криптографическую лабораторию OpenSSL, поразило практически всех, поскольку OpenSSL очень широко используется при установлении защищенной связи между веб-сервером и браузером.
Итак, кто от этого мог пострадать?
Кратко говоря, все. Тем более потому, что эта технология применяется не только при связи с веб-сервером, но и в таких устройствах, как принтеры, точки беспроводного доступа, маршрутизаторы и коммутаторы, поскольку все эти системы позволяют осуществлять административный доступ через веб-интерфейс.
Для преступников эта уязвимость просто Святой Грааль. Существует код для использования этой уязвимости, а сотни тысяч устройств открыты в Интернет, ожидая, когда им скомандуют отдать секретную информацию человек, использующий этот код. Хорошей новостью, правда, является то, что эта уязвимость уже известна и большинство крупнейших сайтов уже приняли меры по защите от этой угрозы. Но это не основная проблема, а главная сложность в том, что все, кто подвергся атаке через эту уязвимость и, вероятно, не знает об этом, находится в большой опасности. Это касается и малого бизнеса и просто пользователей, поскольку подобные люди, как правило, могут не знать, какую версию программного обеспечения они используют, или встроена ли технология OpenSSL в устройства, которые они используют. Более того, преступники могут и не оставить каких-либо записей о своем присутствии в то время, когда они осуществляли атаку через эту "дыру", поскольку эта уязвимость является частью кода, где нет никакого логирования.
Так что же нам сделать, чтобы защитить себя и своих клиентов?
Для бизнеса.
Первое, что надо сделать, это попытаться обнаружить эту уязвимость в своей сетевой среде и, если она будет обнаружена, тотчас обновиться до новой, исправленной версии OpenSSL. Это касается не только публичных систем, хотя именно с них необходимо начинать. Необходимо проверить и внутренние системы, поскольку преступники наверняка попробуют их использовать, чтобы получить аутентификационные данные реальных пользователей для дальнейшего использования. Вот несколько онлайновых инструментальных средств, которыми можно с этой целью воспользоваться:
http://heartbleed.com/
https://www.ssllabs.com/ssltest/index.html
http://filippo.io/Heartbleed/
Администраторам серверов необходимо также озаботиться генерацией новых SSL-сертификатов, поскольку вероятнее всего существующие уже скомпрометированы и может так случится, что атака будет начата ровно тогда, когда вы перезапустите веб-сервер. Для безопасности необходимо сгенерировать новые ключи.
Организация обязана также проинформировать своих клиентов об опасности и обеспечить их инструкциями о том, как они могут защититься от нее. Это особенно важно, если пользователям необходимо сменить пароли, поскольку они используют веб-сервер, который как раз будет обновляться.
К сожалению, многие организации втихую проводят обновление своих серверов без информирования клиентов о том, что их пароли могут быть незащищенными, или что сервер обновляется и пароли теперь могут быть изменены безопасным образом. Даже если ваш веб-сервер не был подвержен этой угрозе, может быть очень полезным сообщить вашим пользователям об этом, чтобы они знали о безопасности своих паролей.
Для потребителей
Сами потребители должны также предпринять собственные проактивные меры для защиты от этой уязвимости, особенно тем, кто использует Microsoft Windows XP, уже не имеющей автоматически обновляемой защиты.
Хотя это и очень кропотливый процесс, всем необходимо поменять пароли, которые используются на веб-сайтах, которые могли быть подвергнуты подобной атаке. Это особенно важно, если вы входили на эти сайты в период между временем, когда уязвимость была публично объявлена, и временем, когда веб-сервер этого сайта был обновлен. Однако нет смысла обновлять ваши пароли, если веб-сервер еще не обновлен. Ваш новый пароль также может быть украден. По этой причине очень важно оператору веб-сайта информировать своих клиентов о том, какие меры он предпринял.
|