Heartbleed - "герой" минувших дней

Буквально на днях, интернет-общественность взбудоражила новость о том, что за последнее время безопасность каждого из нас находилась под существенной угрозой. На протяжении крайних двух лет конфиденциальная информация пользователей могла быть с легкостью похищена хакерами. Пароли, логины, электронные переписки – все это попадало под перечень данных, представляющих огромную ценность для злоумышленников.
Однако, насколько бы мы не были осведомлены действиями спецслужб по слежке за людьми, на этот раз они действительно не причем. Курьез случился из-за «бреши» в пакете шифрования данных OpenSSL.

Ремарка: Основное предназначение OpenSSL состоит в предоставлении максимальной безопасности при передаче данных, между пользователем и сервером. Свои истоки данная система берет с начала 90-х годов, когда компанией Netscape Communications был создан, так называемый, протокол SSL («Уровень защиты сокетов») и предназначался только для браузера Netscape Navigator. Спустя несколько лет, добавилась приставка Open-SSL, обозначавшая открытость исходного кода.

Принцип действия OpenSSL заключается в обмене запросов между компьютерами о текущем состоянии (онлайн-оффлайн). Осуществляются они при помощи специальной функции – heartbeat (рус. – пульс). Однако из-за допущенной ошибки в коде OpenSSL, запрос heartbeat можно было изменить и запрограммировать его на выдачу 64 кб информации зашифрованного процесса из оперативной памяти устройства-собеседника. Именно в этих килобайтах и передавались секретные данные пользователей.

«Heartbleed», так окрестили найденную уязвимость, уже можно считать чумой современного интернета. Более 65% сайтов используют OpenSSL (включая даже таких гигантов, как Google), следовательно, большинство пользователей подвергались огромному риску. Также не имеет значения и операционная система, установленная на вашем устройстве: Windows, Linux, Andoid… 

Автор, допустивший ошибку «Heartbleed», Робин Сеггельманн, утверждает, что содеянное им –случайность, никаким злым умыслам места не было. Т.к. «брешь» успешно обнаружена (хоть и спустя несколько лет), рядовому пользователю придется теперь только ждать, пока сайты не перейдут на обновленную версию SSL. Однако, на данный момент, Вы можете проверить список интернет-ресурсов, подверженных опасности «Heartbleed».

Для этого необходимо установить плагин LastPass в свой браузер (после чего выбираем: Инструменты – Проверка безопасности), либо же перейти по этой ссылке (нужно зайти в свой профиль или зарегистрироваться). После непродолжительной проверки, LastPass выдаст результат с перечнем сайтов, работающих на старой версии OpenSSL.

Отправить комментарий

Содержимое этого поля является приватным и не будет отображаться публично.

Железо