Серьезная угроза в ИТ. Диагноз: Heartbleed

Напомним, что библиотека OpenSSL содержит определенный набор функций, реализующих криптографические протоколы SSL и TLS. Они помогают скрыть содержимое данных, передаваемых через интернет-соединение от третьих лиц. Например, когда в браузерной строке адрес отображается с префиксом https, значит, что соединение с веб-сервером защищено с помощью SSL/TLS.

Суть проблемы Heartbleed заключается в том, что сервер не проверяет корректность части запросов, которые поступают от клиентов. Клиент, установивший соединение, периодически обращается к серверу с просьбой подтвердить, что соединение ещё не разорвано, а в ответ сервер должен вернуть определенный объем данных, причем это количество определяется клиентом. Отметим, что данная функция называется Heartbeat, отчего и появилось название уязвимости - Heartbleed.

Если клиент со своей стороны запрашивает больше данных, чем отправил, то верно работающий OpenSSL не обработает данный запрос, а пораженный ошибкой, удовлетворит запрос клиента и пришлет ему часть из оперативной памяти. В этом ответном куске могут содержаться сведения, которые не имеют никакого отношения к клиенту, например, пароли и логины пользователей, которые недавно подключались к серверу, а также другую приватную информацию.

«Да, эта уязвимость весьма опасна. Она располагается в расширении под названием Heartbeat библиотеки OpenSSL. Эта библиотека используется для работы с SSL/TLS соединениями. Напомню, что технологии SSL/TLS позволяют защищать трафик, передаваемый от клиента к серверу. В настоящее время подавляющее большинство сайтов, работающих с персональной информаций – социальные сети, банки, интернет-магазины и т.д. – шифруют персональную информацию с помощью SSL/TLS. Это позволяет защитить передаваемые данные – номера карт, логины и пароли – от перехвата и кражи, – уточнил Вячеслав Закоржевский, руководитель группы исследования уязвимостей «Лаборатории Касперского, -  Обнаруженная уязвимость позволяет злоумышленнику считывать фрагменты памяти системы, в которой используется уязвимая библиотека. В памяти же может располагаться конфиденциальная информация – сертификаты, приватные ключи, логины/пароли и прочее. Независимые исследователи подтверждают, что им удалось украсть с помощью этой уязвимости критические данные. Что более важно, эта уязвимость может использоваться практически бесследно для атакующего и жертвы».  

По разным оценкам, на момент публикации уязвимости от 20 до 60 % веб-сервисов, использующих SSL/TLS шифрование, было построено на уязвимой версии библиотеки OpenSSL. Так как подавляющее большинство пользователей Интернета используют те или иные сервисы, связанные с передачей личных данных (реквизиты банковских карт, логины/пароли и т.п.), то количество пользователей, оказавшихся под угрозой на момент обнародования уязвимости можно грубо оценить в 90 %.

«Нужно учитывать и тот факт, что похищенные приватные SSL/TLS-ключи серверов могут быть использованы злоумышленниками гораздо позднее. С их помощью можно проводить атаки типа Man-in-the-Browser или Man-in-the-Middle и компрометировать HTTPS-подключение, перенаправляя пользователя на вредоносные ресурсы и устанавливая опасные программы. При этом пользователь будет думать, что работает с легитимным и защищенным источником, – отметил Артем Баранов, ведущий вирусный аналитик ESET, – Уязвимость Heartbleed затронула не только крупные интернет-компании и сервисы типа OpenVPN и Tor, но и большое количество клиентских приложений для ПК. На прошлой неделе крупные производители ПО уже анонсировали выпуски исправленных версий своих продуктов, в которых закрыта эта уязвимость. Стоит отметить, что в зоне риска оказались и пользователи мобильных устройств. Например, пользователи Android 4.1.1 (Jelly Bean) должны обновить свои устройства до новой версии ОС, в которой устранена эта уязвимость».

Сегодня эксперты прогнозируют, что уязвимость может иметь более серьезные последствия, чем считалось ранее. Так, хакеры при помощи Heartbleed могут получить доступ к «сертификату безопасности». Такой сертификат позволит злоумышленникам создавать поддельные сайты, которые будут восприниматься как верные. Такие ресурсы смогут собирать личную информацию пользователей, в том числе и данные пластиковых карточек и банковских счетов.

Несмотря на то, что устранением уязвимости на интернет-ресурсе должны заниматься веб-мастера, обычные пользователи также должны озаботиться вопросом собственной безопасности.

«Советую проверить все сервисы, которые требуют аутентификации через HTTPS, на предмет присутствия этой уязвимости. Проверка предполагает обращение в компанию, сервисы которой использует пользователь. Компания может подтвердить или опровергнуть присутствие уязвимости в своих сервисах, а также рекомендовать сменить соответствующие пароли, – рассказал Артем Баранов, – Советую также следить за обновлениями ПО, поскольку производители выпускают их, чтобы закрыть эту уязвимость. Убедитесь, что ваш браузер поддерживает настройку проверки отзыва цифровых сертификатов. Это обязательное для браузеров требование, оно позволяет уведомлять пользователей о том, что сертификат, с которым они работают по HTTPS, был отозван, а соединение больше безопасным не является».

«Лаборатория Касперского» выпустила специальную инструкцию для пользователей. В ней даны советы по безопасности перед уязвимостью. Так, рекомендуется проверить были ли уязвимы сайты, на которые пользователи чаще всего заходят. Для этого существуют онлайн-инструменты, позволяющие узнать, была ли уязвимость в прошлом. В инструкции отмечено, что Facebook и Google не были подвержены багу, а вот Yahoo, Flickr, Duckduckgo, LastPass, Redtube и Avito.ru были уязвимы.

Если у пользователя есть аккаунт на пораженном сайте, то необходимо незамедлительно сменить пароль учетной записи. Специалисты «Лаборатории Касперского» уточняют, что это позволит начать применять простые в запоминании, но стойкие пароли. Также в инструкции содержится предложение проверять надежность пароля при помощи онлайн-сервиса компании - Password Checker.

Владельцам сайтов рекомендуется перевыпустить сертификаты безопасности. Для этого нужно проверить сертификат сервиса и убедиться, что веб-мастер пользуется новым сертификатом, выпущенным 8 апреля или позже. Для того, чтобы это сделать необходимо включить проверку отозванных сертификатов в браузере, что позволит предотвратить использование старых, возможно краденных, сертификатов.

Напомним, что OpenSSL является самым популярным, но далеко не единственным интернет-протоколом, однако сейчас определить шанс уязвимости альтернативных решений практически невозможно.

«Такой шанс оценить практически невозможно напрямую, но едва ли он является высоким. Большинство современных протоколов, используемых в Интернете, существуют уже немало лет и используются миллионами пользователей по всему миру. Поэтому остаётся надеяться, что все опасные уязвимости уже были обнаружены и устранены», – отметил Вячеслав Закоржевский.

Также г-н Закоржевский уточнил, почему данную уязвимость не получилось выявить до массовых последствий: «Чтобы выявить эту проблему, надо было целенаправленно заниматься поиском уязвимости – анализировать исходный код, генерировать случайные сетевые пакеты и т.д. По-видимому, большинство исследователей и разработчиков считало эту библиотеку безопасной, так как OpenSSL уже много лет используется в популярных коммерческих web-серверах».

Специалисты компании Trend Micro советуют следить за любой подозрительной активностью интернет-счетов, менять пароли, а также помнить о том, что когда появляется что-то новое и неизвестное, то сразу же появляется огромное количество противоречивой информации. В таком информационном потоке важно сохранять спокойствие и четко выполнять действия, направленные на сохранение личных данных.