Какво трябва да знаем за пробивa Heartbleed в стандарта OpenSSL

Проблемът има своето отражение за интернет потребители и компании в целия свят

Специалисти препоръчват хората да сменят паролите си в сайтовете и социалните мрежи.
Специалисти препоръчват хората да сменят паролите си в сайтовете и социалните мрежи.
Специалисти препоръчват хората да сменят паролите си в сайтовете и социалните мрежи.    ©  Reuters
Специалисти препоръчват хората да сменят паролите си в сайтовете и социалните мрежи.    ©  Reuters

Може би едно от най-важните послания при неспиращите разкрития за какви ли не проблеми със сигурността на личните данни в интернет е, че гаранция за тях няма и всеки потребител и компания трябва винаги да има едно наум. Въпреки това понякога проблемите се появяват от най-малко очакваните места.

Точно така се случи и миналата седмица, когато беше разкрит сериозен пробив в сигурността на иначе смятания за много сигурен стандарт за криптиране на интернет трафик OpenSSL. Тъй като OpenSSL се използва от стотици хиляди интернет страници по света, веднага се сметна, че проблемът има много сериозни последици. След това обаче се появиха информации, че пробивът, наречен Heartbleed, е само за специфична версия на OpenSSL и мащабът не е чак толкова голям. Какво се случва в действителност? Ето няколко кратки отговора на най-често задаваните по този казус въпроси.


Четете неограничено с абонамент за Капитал!

Статиите от архива на Капитал са достъпни само за потребители с активен абонамент.

Абонирайте се

Възползвайте се от специалната ни оферта за пробен абонамент

2 лв. / седмица за 12 седмици Към офертата

Вижте абонаментните планове
10 коментара
  • Най-харесваните
  • Най-новите
  • Най-старите
  • 1
    keipax avatar :-|
    keipax
    • + 12

    Или иначе казано, обяснено с картинка, heartbleed изглежда така :)
    http://9gag.com/gag/ab5mMYX/heartbleed-explained

    Нередност?
  • 2
    boris_kalchev avatar :-|
    Борис
    • + 9

    "...иначе смятания за много сигурен стандарт за криптиране на интернет трафик OpenSSL."

    "Open Secure Sockets Layer, известен и с новото си име Transport Layer Security (TLS).."

    OpenSSL не е стандарт, а просто една от широко-използваните имплементации на TLS and SSL стандартите. Има и други широко използвани имплементации на тези стандарти.

    http://en.wikipedia.org/wiki/Comparison_of_TLS_implementations

    Нередност?
  • 3
    boris_kalchev avatar :-|
    Борис
    • + 4

    А ето и самите стандарти:

    http://tools.ietf.org/html/rfc6101
    http://tools.ietf.org/html/rfc5246

    Нередност?
  • 4
    kalnik avatar :-|
    Калник
    • + 5

    "В случай че сайтът все още не е оправил проблема, няма смисъл да сменяте паролата, докато това не бъде направено."

    Всъщност, дори да е оправен проблемът, не може да се разчита, че всичко е наред, ако не са си подновили и сертификата. Възможността чрез Heartbleed да се извлече частният ключ на сертификата е много по-сериозна опасност, отколкото изтичането на няколко потребителски пароли. При компрометиран сертификат става възможно да се подслушва целия криптиран трафик, ако не се поддържа Perfect Forward Secrecy (в този случай може да се декриптира и предварително записан трафик). Отделно може да се прави Man-In-the-Midlle атака, при която пада всякаква защита. За съжаление, някои браузъри не проверяват списъка с анулирани сертификати, така че трябва да го проверявате на ръка.

    Абе накратко, ако сте параноици, имате пълни основания да подозирате всички. Ако ли не - кютайте си както досега. Но поне помислете да смените част от паролите си, така че никъде да не използвате една и съща парола.

    Нередност?
  • 5
    hlr35358963 avatar :-|
    hlr35358963
    • + 3

    "Самият Сегелман също е признал, че е допуснал грешката и е предал кода, без да бъде валидиран."
    Невярно, кодът написан от Сегелман е бил прегледан от Стивън Хенсън, един от четиримата главни разработчици на OpenSSL, но бъгът е бил пропуснат.

    "Други специалисти определят проблема като напълно неволна техническа грешка. Тъй като OpenSSL е проект с отворен код, такива неща се смятат за нормални, а хвърлянето на вината върху конкретен човек не е редно."

    Несъмнено, но фактът, че впоследствие в OpenSSL библиотеката са подменени стандартните функции за алокация на памет, по начин, който прави невъзможно да се засече своевременно въпросният бъг със средства специално предназначени за целта, буди известни подозрения. Интересно е дали някой е проучил кой е авторът на тази промяна и възможни връзки със Сегелман и Хенсън.

    Нередност?
  • 6
    sasvirco avatar :-|
    sasvirco
    • - 1
    • + 6

    Други специалисти определят проблема като напълно неволна техническа грешка. Тъй като OpenSSL е проект с отворен код, такива неща се смятат за нормални, а хвърлянето на вината върху конкретен човек не е редно.

    -----

    Ползвам софтуер с "отворен код" от години, и в големите проекти там въобще не се смятат за нормални такива работи...

    Нередност?
  • 7
    nedumai avatar :-|
    nedumai
    • + 2

    TLS било новото име на OpenSSL?!! Бхаххах

    Нередност?
  • 8
    stein avatar :-|
    stein

    С две думи: нищо фатално. Хубавото е, че всеки може да провери историята и да се убеди има или не умисъл. А специалистите да сканират кода още веднъж за подобни проблеми.

    Нередност?
  • 9
    kombainera avatar :-|
    kombainera
    • + 6

    Миналата седмица открих, че банката, при която имам онлайн банкиране, не покрива хартблийд тестовете, които са посочени и в тази статия. Писах им с молба да обърнат внимание на проблема. От тогава от тях - ни вест, ни кост - а порталът им на онлайн банкиране продължава да се проваля на тестовете. Т.е. ако има проблем, още не са го оправили. И кво праим с'а?

    Нередност?
  • 10
    epoc avatar :-|
    epoc
    • + 3

    До коментар [#2] от "Борис":
    До коментар [#7] от "nedumai":

    Бе коментар. И на мен ми идеше да се намеся, но сте го направили преди мен.

    Автора, моля не бъркай стандарт с имплементация. Ако OpenSSL беше стандарт, то и Майкрософт щеше да е засегнат, както и старите версии на библиотеката.

    OpenSSL е просто една от разновидностите на софтуерна реализация на SSL и TLS, които са протоколи за криптиране със симетричен ключ и за момента са си сигурни. Даже старите версии на OpenSSL са сигурни, проблемите са в тези от 2012 досега и то само ако си ъпгрейдвал системата междувременно.

    Да не говорим, че тук авторът сам си противоречи:

    "Open Secure Sockets Layer, известен и с новото си име Transport Layer Security (TLS), е метод за криптиране на информацията, която се прехвърля по интернет. "

    "OpenSSL е отворена версия на SSL, която е една от най-използваните."

    Тоест - или е "метод за криптиране" - или е "отворена версия" - кое от двете?

    Глупостта "отворена версия" няма изобщо да я коментирам - това да се чете като "версия с отворен код" или "реализация/имплементация с отворен код".

    Авторе, образовайте се, питайте, идете при сисадмина - може той да знае за какво става въпрос. Имал съм си вземане/даване с IT журналисти - след 2 издънки с интервюта се наложи да искаме всеки материал преди публикацията и да оправяме откровените глупости. ПИТАЙТЕ. Има кой. Недейте да си мислите, че минава ей така, между другото, забелязва се.

    Нередност?
Нов коментар