Самый популярный в интернете протокол шифрования OpenSSL попал под удар

Специалистами по безопасности выявлена уязвимость в некоторых версиях одного из самых популярных в глобальной сети протокола шифрования OpenSSL. Эта уязвимость уже получила название «Сердечное кровотечение». 

 

Сотрудники Google и компании по информационной безопасности Codenomicon, которые ее и выявили, считают, что неожиданно появившаяся проблема может коснуться две трети всех интернет-ресурсов, имеющихся в мировой паутине.

 

Газета The Wall Street Journal написала, что, по словам исследователей, используя «Сердечное кровотечение», хакеры могут получить доступ к персональным данным, например, пользователей Yahoo! Сразу после появления такой информации представителем Yahoo! было сделано заявление газете о том, что компанией уже внесены необходимые коррективы. 

 

Сайты, которые имеют большую популярность, например, Google, Amazon и Ebay, для пользователей безопасны. Это подтверждает тестовая программа, которую разработала компания Qualys.

 

 

В основе уязвимости – проблема некоторых версий OpenSSL. Речь идет о бесплатном наборе инструментов шифрования информации. Его ведь применяет львиная доля ресурсов. Координацию разработки OpenSSL ведут четыре ключевых программиста из Европы. И только один из них трудится над протоколом, используя свое основное место работы. 

 

Ограниченность ресурсов, которые доступны для тех, кто создает протокол шифрования, – это проблема для веб-разработчиков, но она очень интересует хакеров и даже шпионов.

 

Для сокрытия персональных данных (например, имен пользователей, их паролей или номеров пластиковых карт) сайты стали все чаще использовать средства шифрования. Это становится защитой от хакеров, которые рвутся перехватить чужие данные в публичных местах доступа, типа кофейни. 

 

Используется шифрование SSL или TSL. Тогда появляется значок в виде замка в адресной строке браузера. Серверы, которые уязвимы для «Сердечного кровотечения», хранят данные пользователей в памяти. Они в незашифрованном виде. И у хакеров есть возможность получить к ним доступ. 

 

Отказавшись от разработки протоколов шифрования, сайты прибегают к бесплатному набору инструментов шифрования OpenSSL. Он появился примерно 15 лет назад. Разработан в качестве легкой в использовании схемы шифрования для интернет-трафика. 

 

Львиная доля сайтов оказалась не готовой к оперативному обновлению протоколов шифрования, чтобы обезопасить пользователей от «Сердечного кровотечения».

 

В своем блоге президент Tor Project Роджер Динглдайн дал такой совет. Тому, кому необходима сильная анонимность или защита персональных данных, он рекомендует не выходить в глобальную сеть вообще в течение нескольких дней. И ждать, когда ситуация изменится. Остается добавить, что Tor Project выпускает браузер, который будет иметь защиту посторонней слежки за теми, кто является его пользователями.