Блог

о компьютерах и программах

OpenSSL

 Интернет гудит о самой распространенной уязвимостей. Ошибка называется "Heartbleed" и непосредственно оказывает влияние на все серверы, сетевые устройства и другие устройства, которые используют OpenSSL 1.0.1. Эксплуатация Heartbleed позволяет злоумышленникам читать память сервера. Она может позволить злоумышленнику загружать и просматривать большую часть защищенной памяти сервера, которая может включать в себя конфиденциальные данные, такие как частные ключи, имена пользователей, пароли, номера кредитных карт и многое другое.


Как ошибка сервера действует на людей?


Почему этот вопрос должен беспокоить вас, если вы не запускаете сервер? Потому что мы все полагаемся на них в нашей повседневной деятельности в Интернете, но не ограничиваясь доступом к веб-сайтам, электронной почте, обмену мгновенными сообщениями и многому другому. Подумайте о вашем интернет-банковском счете, кредитных картах и других чувствительных счетах в качестве наиболее приоритетных целей для атак хакеров. Эта уязвимость действительно существовала больше года и только потом публично была обнаружена.

Количество времени, которое уязвимость существует очень важно, потому что стоит лишь предположить, что каждый OpenSSL 1.0.1 защищал связь в течение этого периода времени, а также серверы, упрощающие их, возможно, были скомпрометированы. Это означает, что даже если вы не работаете со своим собственным сервером, вы по-прежнему взаимодействуете с ними на ежедневной основе. И большинство из этих серверов требует аутентификацию. Многие из них хранят и передают конфиденциальные данных. Это означает, что даже если вы, возможно, не чувствовали никакого влияния, это не значит, что ваши данные не были скомпрометированы.


Что я могу сделать, чтобы защитить себя?


Моя рекомендация заключается в изменении каждого пароля, который вы используете. Предположим, что все они были скомпрометированы. Не совмещайте пароли между несколькими веб-сайтами или учетными записями пользователей, что в свою очередь значительно ослабляет безопасность. Используйте сложные пароли, которые не имеют целые слова (даже с номерами и разным регистром). Пароли основанные на словах гораздо, гораздо легче угадать!

Поставщики также могут выпускать патчи, которые не меняют номер версии, но исправляют ошибку. Чтобы протестировать, если Ваш сервер уязвим, Вы можете рассмотреть использование этого сканера ошибки Heartbleed - http://filippo.io/Heartbleed. Любые серверы, которые вы видите, которые являются уязвимыми следует избегать, пока они не исправлены. Не входите в систему сервера, который не исправлен, или Вы можете поместить свою учетную запись в больший риск. Лучше позвоните в службу поддержки, сообщите о проблеме и попросите их отключить вашу учетную запись, пока проблема не будет устранена. Или измените пароль по телефону, если Вы чувствуете себя комфортно, делая это.


Что делать, если у меня есть сервер или сетевое устройство с OpenSSL?


Ваша первая остановка должна быть на веб-сайте вашего поставщика с целью раскрытия им уязвимости. Многие производители покажут вам именно то, что было исправлено, когда и дадут вам инструкции, чтобы установить патч или ссылку на его скачивание. Другие могут все еще работать над патчем. Если ваш поставщик не выпустил новый патч для этой ошибки, это не означает, что устройство не уязвимо к ней. OpenSSL широко используется для обеспечения множества различных типов связей, то есть вы можете обнаружить, что совершенно неожиданные устройства могут оказаться уязвимыми, такими как маршрутизаторы, сетевые устройства, серверы распределения нагрузки и прокси-серверы.

Если вы не можете перейти на безопасную версию OpenSSL, подумайте о  временном отключении SSL. В конце концов, сама ошибка является гораздо более опасной, чем защита, которую предлагает SSL. Мы также рекомендуем отменить и переоформить любые сертификаты SSL, которые были использованы, чтобы восстановить закрытые ключи.