Катастрофической уязвимости подвержены две трети серверов в интернете

В начале апреля технологическое сообщество было ошарашено открытием уязвимости « Heartbleed» в пакете OpenSSL, который обеспечивает https-соединения между сервером и пользователем. Эта уязвимость давала возможность читать небольшие куски оперативной памяти сервера. Таким образом, злоумышленники могли получать доступ к логинам и паролям пользователей, их Cookie или даже к приватным SSL-ключам сервера.

Ошибка закралась в код OpenSSL ещё два года назад, но сотрудник Google Нил Мехта и специалисты компании Codenomicon обнаружили её только сейчас.

Открытие бага Heartbleed спровоцировало широкое общественное обсуждение — это вызвано его потенциальной опасностью. Разработчики оперативно выпустили патч, но десятки миллионов серверов были подвержены уязвимости с 2012 года.

Библиотека OpenSSL не так известна за пределами мира программистов и администраторов, но примерно две трети всех серверов в мире используют эту технологию (в том числе Google, «Яндекс» и «Альфабанк» — используя Heartbleed, мошенники могли перехватывать письма или заполучить доступ к онлайн-банкингу). Каждый специалист, узнавший об уязвимости, сейчас пытается всё исправить. Уязвимости оказались подвержены крупные компании — к примеру, эксперты советуют пользователям Yahoo аккуратнее обращаться со своими аккаунтами до тех пор, пока сервера корпорации не обновятся полностью.

Впрочем, несмотря на то, что злоумышленники могли получить доступ к логинам и паролям пользователей, сервисы, предоставляющие двухфакторную авторизацию, оказались в безопасности. Один из самых крупнейших онлайн bitcoin-кошельков Blockchain также заявил о том, что его пользователи в безопасности благодаря специалистам компании Cloudflare и тому, что пароли пользователей никогда не отправляются на сервер.

Более маленькие компании, включая Imgur, Flickr, LastPass, тоже оказались под ударом. LastPass, впрочем, утверждает, что утечек незашифрованных данных не произошло. Исследователь из International Computer Science Institute Николас Вивер сказал изданию The Verge, что это «катастрофически ужасная, просто очень разрушительная уязвимость. В течение всего года будут обнаруживаться уязвимые сервера, и всё будет полностью исправлено ещё не скоро».

Большинство средств безопасности, которые основываются на OpenSSL, также оказались в шатком положении. Даже в заявлении от проекта Tor говорится, что «если вам нужна полная анонимность и безопасность в интернете, вам, скорее всего, придётся полностью воздержаться от посещения интернета в течение следующих нескольких дней, пока всё не уляжется». Причём несколькими днями всё может не ограничиться — этого времени хватит, чтобы устранить уязвимость на серверах, но в том случае, если кому-то удастся получить приватную информацию, ситуация так скоро не разрешится. Можно сбросить сертификаты на серверах, но это дорого и медленно — многие, возможно, решат ограничиться лишь патчем.

Apple и Microsoft избежали угрозы, так как используют собственные криптографические инструменты. Та же самая ситуация с крупнейшими банковскими и финансовыми сервисами. Yahoo, с другой стороны, оказалась подвержена уязвимости, и на момент написания этого текста обновляет ПО на своих серверах. Даже больше — любой сервер, работающий на Apache или Nginx, может быть подвержен этой уязвимости, следовательно, угроза нависла над огромным количеством популярных сайтов и сервисов.

Существует несколько способов проверить, какие сайты остались в безопасности — этих способов мало и они все ненадёжны. Этот сервис показывает, был ли установлен патч (допускается погрешность). Каждому серверу также придётся сгенерировать новые SSL-сертификаты, чтобы не дать злоумышленникам возможность воспользоваться выманенными ключами. Можно проверить сервер SSL-трекером, чтобы узнать дату выпуска сертификата (которая, соответственно, должна следовать после даты последнего патча).

Пока слишком рано судить о последствиях этой уязвимости, но некоторые уроки уже можно извлечь. OpenSSL поддерживает огромную инфраструктуру, но не получает достаточного финансирования — некоторые эксперты уже призывают пожертвовать некоторую сумму на нужды разработчиков, чтобы предупредить появление таких багов впредь.

К тому же, такие уязвимости очень сложно отыскивать — они могут проявиться во время проверки состояния памяти, но их нельзя обнаружить, просто внимательно проглядев код.