Что случилось

В криптографической библиотеке OpenSSL, которую многие компании и веб-сайты используют для защиты информации, обнаружен крайне серьезный изъян. Из-за программной ошибки злоумышленники могут получать доступ к личным данным пользователей, не оставляя следов в системе.


«Уязвимость располагается в расширении под названием Heartbeat библиотеки OpenSSL. Эта библиотека используется для работы с SSL/TLS соединениями. Технологии SSL/TLS позволяют защищать трафик, передаваемый от клиента к серверу. В настоящее время подавляющее большинство сайтов, работающих с персональной информацией — социальные сети, банки, интернет-магазины и т.д. — шифруют персональную информацию с помощью SSL/TLS. Это позволяет защитить передаваемые данные (номера карт, логины и пароли) от перехвата и кражи.

Обнаруженная уязвимость помогает злоумышленнику считывать фрагменты памяти системы, в которой используется уязвимая библиотека. В памяти может располагаться конфиденциальная информация — сертификаты, приватные ключи, логины/пароли и прочее. Независимые исследователи подтверждают, что им удалось украсть с помощью этой уязвимости критические данные. Что более важно, эта уязвимость может использоваться практически бесследно для атакующего и жертвы», — рассказывает Вячеслав Закоржевский, руководитель группы исследования уязвимостей «Лаборатории Касперского».

Кто под ударом

По аналогии с названием рокового расширения, Heartbeat, сама уязвимость получила имя Heartbleed («кровточащее сердце» — с англ.), и ей посвящен целый сайт, на котором собрана актуальная информация о проблеме. В частности, там опубликован список операционных систем, подвергшихся первоочередному риску:


•Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4


•Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11


•CentOS 6.5, OpenSSL 1.0.1e-15


•Fedora 18, OpenSSL 1.0.1e-4


•OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) и 5.4 (OpenSSL 1.0.1c 10 May 2012)


•FreeBSD 10.0 — OpenSSL 1.0.1e 11 Feb 2013


•NetBSD 5.0.2 (OpenSSL 1.0.1e)


•OpenSUSE 12.2 (OpenSSL 1.0.1c)

В Интернете уже звучат мнения о том, что Heartbleed стал одной из крупнейших информационных катастроф последних лет.

«Несмотря на то что библиотека OpenSSL используется в операционных системах семейства *nix и BSD, не стоит недооценивать опасность. По оценкам, до 66% существующих сайтов используют веб-сервера apache и nginx, которые используют библиотеку OpenSSL», — предостерегают безопасники «ЛК».


Главной проблемой остаются банки, которые хранят наиболее важную информацию:

«Скомпрометированы конфиденциальные данные клиентов целого ряда банков, например, «Альфа-Банка» или «Райффайзен»», — утверждает Анна Артамонова, вице-президент Mail.Ru Group.


Некоторые из банков, как например, «Русский Стандарт» и «Райффайзенбанк» устранили уязвимость и отрапортовали об этом. Другие, как «Альфа», оперативно, но тихо залатали дыру. Но большинство финансовых учреждений следуют пословице о том, что большие деньги любят тишину, и никак не комментируют работы по устранению Heartbleed.

Минутка паранойи

Потенциальный урон личным данным коммерческих компаний и их пользователей настолько колоссален, что в Сети уже появились обвинения в адрес спецслужб — конспирологи подозревают АНБ и Ко в намеренном внедрении уязвимости в открытый код OpenSSL.


По официальной же версии, ошибка была случайно внесена 01 января 2012 года немецким программистом Робином Шеггельманом (Robin Seggelmann) во время работы по исправлению предыдущих багов. Уязвимость была замечена только 07 апреля 2014 года одновременно двумя независимыми друг от друга экспертами — счастливчиками стали Антти Карялайнен (Antti Karjalainen) из компании Codenomicon и Нил Мехта (Neel Mehta) из Google Security. Сразу после обнаружения проблемы была оперативно выпущена специальная «заплатка».

Кому уже досталось?

Многие интернет-компании уже выступили с официальными заявлениями по поводу Heartbleed. Так, Twitter и Facebook, а также корпорации PayPal, Amazon, Google, Microsoft и Apple уже заявили о том, что не использовали уязвимые протоколы и данные их пользователей в порядке. Также проблема не затронула «Лабораторию Касперского». В других компаниях (Yahoo, Wargaming, Dropbox, SoundCloud) оперативно закрыли уязвимость. Российские интернет-гиганты быстро среагировали на ситуацию и успокаивают пользователей.


«Яндекс использовал уязвимый SSL с декабря 2013. Мы начали устанавливать обновления безопасности на сервисах Яндекса сразу после сообщения о Heartbleed. Некоторые из наших сервисов — например, Яндекс.Деньги — проблема вообще не затронула, остальные перестали быть подвержены уязвимости уже через несколько часов. Эти несколько часов были самыми опасными — о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов — никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было», — рассказывает PR-менеджер компании «Яндекс» Екатерина Карнаухова.


«Пользователи ключевых сервисов Mail.Ru Group не пострадали», — сообщает Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения «Почта и портал». «В наших пользовательских продуктах (Почта и др.) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.Ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена. При этом важно подчеркнуть, что на этих проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей. Все, что теоретически могли сделать злоумышленники, — это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены.

Что касается авторизационных сессий, то мы и здесь смогли обеспечить пользователям высокий уровень защиты. На критически важных проектах Mail.Ru Group работает так называемое разделение сессий. Суть в следующем: даже если злоумышленник так или иначе завладеет авторизационной сессией пользователя на одном проекте, он не сможет получить доступ к другим проектам портала. Личные данные пользователя, его пароли, почта и др. под защитой».

Что с мобильными?

Помимо крупных корпоративных веб-сервисов под удар, в теории, могут попасть и частные компьютеры, работающие на указанных выше операционных системах. И даже некоторые (в действительности, очень немногие) мобильные устройства.

«На популярных мобильных платформах риски почти исключены. iOS оказался не подвержен Heartbleed-атаке. По официальной информации Google, Android также не затронут, поскольку почти во всех версиях не используется уязвимое к Heartbleed расширение TLS.

Единственным исключением является версия Android 4.1.1, в которой это расширение все же присутствует. Таким образом, пользователь со смартфоном на Android 4.1.1 потенциально будет уязвим к Heartbleed-атаке. Рецепт для их владельцев прост: нужно проверить устройство на уязвимость и обновить SSL до последней версии. И то, и другое можно сделать с помощью специального приложения Lookout Heartbleed Detector, доступного в Google Play», — говорит Анна Артамонова.

Принимаем меры

Свои инструкции по безопасности для пользователей дали почти все ведущие эксперты индустрии. Так, Яндекс запустил целую страничку и настоятельно рекомендует сменить все пароли, а «Лаборатория Касперского» разработала развернутое руководство к действию:

•Проверьте, были ли уязвимы ваши любимые сайты. Есть онлайн-инструменты, чтобы проверить наличие уязвимости Heartbleed, но очень важно знать, была ли уязвимость в прошлом. К счастью, в Сети есть длинный список популярных сайтов, которые были проверены на уязвимость. Хорошие новости: Facebook и Google не подвержены багу. Плохие новости: Yahoo, Flickr, Duckduckgo, LastPass, Redtube, Avito.ru, Hidemyass, 500px и многие другие были уязвимы. Если вам ценен аккаунт на одном из популярных сайтов — готовьтесь действовать.


•Проверьте, уязвим ли сайт сейчас. Для этого есть удобный инструмент.


•Когда владельцы сайта исправят ошибку, им крайне желательно перевыпустить свои сертификаты безопасности. Поэтому проверьте сертификат сервера и убедитесь, что пользуетесь новым сертификатом (выпущенным 8 апреля или позднее). Чтобы сделать это, включите проверку отозванных сертификатов в вашем браузере. Это предотвратит пользование старыми (возможно, крадеными) сертификатами. Чтобы проверить дату выпуска сертификата вручную, нажмите на зеленый замочек в адресной строке и нажмите ссылку «Информация сертификата» на закладке «Соединение».


•Самое важное — когда ошибка на сервере устранена, а сертификат перевыпущен, немедленно смените свой пароль учетной записи. Это, кстати, может быть хорошим поводом задуматься о надежности своих паролей и начать применять простые в запоминании, но стойкие пароли. Также вы можете проверить надежность своего нового пароля при помощи нашего онлайн-сервиса Password Checker.

А вот ещё одно руководство к действию для простых пользователей от Symantec (системным администраторам предлагаем ознакомиться с полной версией документа здесь). Сразу оговоримся, что оно адресовано более беспечным пользователям. Если вам действительно есть, что терять, еще раз перечитайте «Касперского»

•Если вы пользовались одним из пострадавших от Heartbleed сервисов, значит ваши данные могли быть похищены. Имейте это в виду и примите меры.


•Проверяйте все сообщения своих сервисов (почта, банк, фотохостинг и т.д.). Если вас попросят сменить пароль, сделайте это.


•Будьте внимательны и не попадайтесь на фишинговые письма, предлагающие сменить пароль. Доверяйте только сайтам со знакомым вам адресом.


•Доверяйте только авторитетным сайтам и сервисам. С большей вероятностью именно они первыми устраняют подобные уязвимости (к сожалению, авторитетность сайтов в области защиты информации определяется уже после таких катастроф, как Heartbleed — прим. автора).


•Внимательно проверяйте транзакции с ваших банковских карт и счетов. Если увидите подозрительные переводы, сразу звоните в банк.

[Автор: Денис Скорбилин, редактор новостей CHЁZASITE.COM]