Уязвимость Heartbleed
Приветствую,всех читателей познавательного интернет ресурса WindowsFan.Ru!!!
Совсем недавно информационные порталы наперебой писали об обнаруженной уязвимости в OpenSSL-протоколе, которая получила название Heartbleed. Поскольку огромное количество веб-сайтов работает именно на этом протоколе, то безопасность множества пользователей встала под угрозу.
С помощью этой уязвимости хакеры без особого труда могли получить доступ к тому, что хранится в оперативной памяти серверов. А храниться там могла любая информация, в том числе и конфиденциальная (личные данные, данные кредитной карты).
Разработка сайта должна учитывать это тонкости, так как согласно статистике, Heartbleed представлял угрозу практически для полумиллиона сайтов. Также под угрозой оказались переписки и внутренние документы некоторых компаний – для этого достаточно было получить цифровые ключи, которые предназначены для шифрования.
Сайты, которых не коснулась эта уязвимость:
- сайты, использующие другие версии протокола SSL;
- сайты, использующие старую версию OpenSSL (уязвимость в более ранних версиях отсутствует);
- сайты, не включившие Hertbeat (функция, являющаяся источником уязвимости, название уязвимости является отсылкой именно к Heartbeat);
- сайты, которые использовали свойство PFS, обеспечивающее невозможность получения всех сессионных ключей даже в случае кражи одного из них, относятся к этому списку наполовину. Хотя использование FPS не гарантирует безопасность сайта, оно снижает уровень нанесения потенциального ущерба.
Принцип работы Heartbleed
- злоумышленник получает доступ к 64 КБ оперативной памяти сервера;
- осуществляет периодические атаки, крадя данные, хранимые в оперативной памяти;
- после нескольких атак злоумышленник имеет в своем распоряжении пользовательские данные для входа (логин и пароль), файлы cookie, а также ключи шифрования, используя которые можно получить и другую секретную информацию пользователей (номера кредитных карт, личные переписки и др.).
Стоит ли бояться за свои данные?
Нет. Сайты, на которых хранится потенциально важная и секретная информация, прикладывают все усилия для того, чтобы не допустить ее кражи. Именно поэтому после обнаружения уязвимости на крупных ресурсах практически тут же стали проводиться работы по ее устранению.
Многие веб-сайты также разослали электронные письма своим пользователям. В них либо говорилось о том, что уязвимость была устранена, либо предлагалось сменить пароль для обеспечения большей безопасности. Менять пароль без соответствующего уведомления крайне не рекомендуется, поскольку такие действия могут привести к обратному эффекту.
Если подобное электронное письмо от важного веб-сайта не пришло, то можно проверить его блог на наличие каких-либо комментариев касательно Heartbleed, либо обратиться к администрации через форму обратной связи. Проверить сайт на наличие уязвимости, можно с помощью сервиса LastPass. Достаточно ввести в поле адрес интересующего сайта и получить необходимую информацию. Какие из популярнейших сайтов уязвимость не обошла стороной, можно проверить здесь.
Отдельную огласку получила информация о том, что АНБ узнало о Heartbleed еще 2 года назад, и все это время пользовалось это уязвимостью для слежки за пользователями. Достоверность этого проверить пока что не представляется возможным, а непосредственно АНБ все обвинения в свой адрес отрицает.
К сожалению, узнать, стали ли ваши личные данные добычей хакеров нельзя ввиду особенностей уязвимости. Однако не стоит надеяться, что Heartbleed – последняя крупнейшая уязвимость, поэтому внимание сохранности своих конфиденциальных данных стоит уделить и вам.
Для этого рекомендуется использовать менеджеры паролей, которые не только обеспечивают их сохранность, но и упрощают работу пользователя (например, избавляют от необходимости запоминать множество паролей). Двухэтапная идентификация в последнее время имеется на множестве веб-сайтов, поэтому не стоит ей пренебрегать.
В этом случае все противозаконные действия злоумышленника остановятся на краже пароля – система не пустит его на сайт без кода подтверждения, который придет на ваш номер телефона.
Вот на этой ноте я и пожалуй закончу свой пост всем пока и до новых интересных встреч с вами дорогие мои друзья...
С одной стороны, Heartbleed в очередной раз поднимает вопрос о ценности надежного пароля. Как следствие массовой смены паролей, вы можете задаться вопросом, как можно еще усилить вашу безопасность. Безусловно, менеджеры паролей являются проверенными помощниками в этом деле - они позволяют автоматически генерировать и хранить стойкие пароли для каждого сайта в отдельности, а вам остается запомнить лишь один мастер-пароль. Онлайн-менеджер паролей LastPass, например, настаивает на том, что он не подвергся уязвимости Heartbleed, и его пользователям можно не менять свой мастер-пароль.
Прикольная програмка хочу я вам сказать,мне лично она не сразу припала к сердцу но когда я узнал о ней побольше и изучил все ее способности то понял что эта программа именно то что мне не хватало для легкости в работе с компьютером. В програмке очень много полезных функций которые могут пригодится в любой момент, так как не предугадаеш что и как случится через час. Рекомендую всем эту программу и могу сказать с уверенностью что она рабочая, проверял лично. Спасибо большое виндовсфану за то что описали
Это, конечно, прекрасно, что данная уязвимость обнаружена. И LastPass оказывает очень хорошую услугу, если действительно он не подвергался влиянию Heartbleed. Но вызывает большие сомнения непричастность АНБ. На мой взгляд, они не просто знали и использовали упомянутую дыру, а и приложили руку к ее выявлению в своих целях. Это далеко не первое скандальное подозрение в адрес американских спецслужб. И, увы, вполне обоснованное.
Да я вас умоляю, сколько еще уязвимостей обнаружат и сколько из них так и останутся не найденными. Такой сложный программный продукт, как windows сам по себе уже источник всех этих изъянов, а если еще участь пресловутый человеческий фактор и спец закладки, то думаю что нам рано расслабляться))
Данная уязвимость была сделана нарочно и не факт что она последняя в своем классе...