Какво трябва да знаем за пробивa Heartbleed в стандарта OpenSSL
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Какво трябва да знаем за пробивa Heartbleed в стандарта OpenSSL

Специалисти препоръчват хората да сменят паролите си в сайтовете и социалните мрежи.

Какво трябва да знаем за пробивa Heartbleed в стандарта OpenSSL

Проблемът има своето отражение за интернет потребители и компании в целия свят

Мартин Дешев
13151 прочитания

Специалисти препоръчват хората да сменят паролите си в сайтовете и социалните мрежи.

© Reuters


Може би едно от най-важните послания при неспиращите разкрития за какви ли не проблеми със сигурността на личните данни в интернет е, че гаранция за тях няма и всеки потребител и компания трябва винаги да има едно наум. Въпреки това понякога проблемите се появяват от най-малко очакваните места.

Точно така се случи и миналата седмица, когато беше разкрит сериозен пробив в сигурността на иначе смятания за много сигурен стандарт за криптиране на интернет трафик OpenSSL. Тъй като OpenSSL се използва от стотици хиляди интернет страници по света, веднага се сметна, че проблемът има много сериозни последици. След това обаче се появиха информации, че пробивът, наречен Heartbleed, е само за специфична версия на OpenSSL и мащабът не е чак толкова голям. Какво се случва в действителност? Ето няколко кратки отговора на най-често задаваните по този казус въпроси.

Какво е OpenSSL?

Open Secure Sockets Layer, известен и с новото си име Transport Layer Security (TLS), е метод за криптиране на информацията, която се прехвърля по интернет. Той се използва широко от много интернет компании и онлайн услуги, включително социални мрежи, търсачки, форуми, мейл услуги и др. Най-лесният начин да се забележи наличието на криптиране е, като се погледне адрес полето на браузъра. Ако преди домейна пише https:// вместо http://, значи стандартът е активен и работи. OpenSSL е отворена версия на SSL, която е една от най-използваните. Добрата новина е, че повечето банки и институции разчитат на други, по-специфични версии и така те останаха извън проблема Heartbleed.

Какво е Heartbleed?

Оказва се, че в OpenSSL има сериозен пропуск в сигурността. Чрез него практически всеки човек в интернет може да чете елементи от паметта на системите, които използват уязвимите версии на OpenSSL. "На практика хакерът може да вземе 64KB памет от сървъра и да прочете данните в тях. Атаката не оставя следи и може да бъде правена многократно, като се взимат различни 64KB късчета от паметта. Това означава, че всичко в паметта, SSL ключовете, потребителски пароли, всичко, е уязвимо. И трябва да приемате, че всичко е компрометирано", коментира специалистът по киберсигурност Брус Шнейер в своя сайт.

Реална ли е заплахата и колко е сериозна?

Това е големият въпрос, по който експертите се разединиха. Специалисти на компанията CloudFlare обявиха в петък, че техните тестове показват практическа невъзможност чрез Heartbleed да бъдат узнати SSL ключовете за декриптиране на информацията. Фирмата сподели, че след двуседмични тестове не са успели да използват Heartbleed, за да се сдобият с данни. Компанията беше толкова уверена в мнението си, че създаде тестова страница и призова всеки желаещ хакер да се пробва да вземе данни от нея чрез Heartbleed. В рамките на няколко часа поне двама хакери успяха да направят това и да докажат, че чрез този пробив в OpenSSL все пак защитите могат да бъдат преодолени.

Как да разбера дали съм засегнат?

Този отговор има две части. Първо за администраторите на интернет страници. Най-лесният начин е, като посетят сайта https://filippo.io/heartbleed/ и въведат IP адреса или домейна на страницата си. Алтернатива е https://lastpass.com/heartbleed/, която дава повече информация - например дали даден сайт е бил засегнат, но вече е поправен. По този начин и потребителите могат да разберат доколко техните пароли са били изложени на риск. Ако имате акаунт в сайт, който е бил засегнат от Heartbleed, тогава е силно препоръчително да смените паролата си в него. В случай че сайтът все още не е оправил проблема, няма смисъл да сменяте паролата, докато това не бъде направено.

Как е допусната такава сериозна грешка?

Според в. Guardian програмистът, който е написал проблемния код, е Робин Сегелман. Той е работил по OpenSSL в периода 2008 - 2012 г. Изданието твърди, че кодът е бил предаден в 23:59 ч. на 31.12.2011 г. Самият Сегелман също е признал, че е допуснал грешката и е предал кода, без да бъде валидиран. Други специалисти определят проблема като напълно неволна техническа грешка. Тъй като OpenSSL е проект с отворен код, такива неща се смятат за нормални, а хвърлянето на вината върху конкретен човек не е редно. "Heartbleed не е в основната част на SLL. В допълнителна функция на SLL е. Възможно е просто никой да не е погледнал този код внимателно, защото не е част от основния", коментира пред в. The New York Times Зулфикар Рамзан, главен технически директор на компанията за киберсигурност Elastica.

Какви са последствията до тук?

Не е известно с точност, защото повечето компании са успели да коригират проблема, преди той да бъде обявен публично. Въпреки това агенция Bloomberg съобщи, че американската Агенция за национална сигурност (NSA) е знаела за Heartbleed почти от неговото начало и се е възползвала от него през цялото време. Според източниците на агенцията NSA има данни за хиляди подобни бъгове в различни системи. Те се използват за придобиване на информация, но се пазят в тайна в интерес на националната сигурност. NSA категорично отрече да е знаела за Heartbleed, което беше подкрепено и от Белия дом.

Според Филип Либерман, президент на компанията за киберсигурност Lieberman Software, проблемът е другаде. Има много хардуерни устройства като рутери, суичове, системи за автоматизация и други, които използват OpenSSL като част от своите системи за сигурност. "Производителите на тези устройства няма да пуснат софтуерни обновления за по-старите модели", казва той пред онлайн изданието Technology Review. Това поставя под риск потребители и компании по света, които ще продължат да използват устройства с уязвима версия на OpenSSL.

Бъдещи рискове

Повечето сайтове вече са решили проблема си с Heartbleed и всичко би трябвало да е наред. Остават обаче въпросите дали нещо подобно не може да се случи отново. Според анализатора на технологичното издание Wired Робърт Макмилън подобен проблем може да се повтори. Голяма част от технологиите в интернет са базирани на отворен код, но става дума за проекти, които не са получили огромното финансиране като Linux, Apache.

Програмистите на OpenSSL например никога не са се виждали всички на живо в една стая. Подобен начин на работа е широкоразпространен в екосистемата на отворения код, казва Макмилън. Като идея това не е лошо, но малкото средства и фактът, че повечето хора работят по проектите като хоби, създава предпоставки подобни проблеми да има и в други системи.

Може би едно от най-важните послания при неспиращите разкрития за какви ли не проблеми със сигурността на личните данни в интернет е, че гаранция за тях няма и всеки потребител и компания трябва винаги да има едно наум. Въпреки това понякога проблемите се появяват от най-малко очакваните места.

Точно така се случи и миналата седмица, когато беше разкрит сериозен пробив в сигурността на иначе смятания за много сигурен стандарт за криптиране на интернет трафик OpenSSL. Тъй като OpenSSL се използва от стотици хиляди интернет страници по света, веднага се сметна, че проблемът има много сериозни последици. След това обаче се появиха информации, че пробивът, наречен Heartbleed, е само за специфична версия на OpenSSL и мащабът не е чак толкова голям. Какво се случва в действителност? Ето няколко кратки отговора на най-често задаваните по този казус въпроси.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

10 коментара
  • 1
    keipax avatar :-|
    keipax

    Или иначе казано, обяснено с картинка, heartbleed изглежда така :)
    http://9gag.com/gag/ab5mMYX/heartbleed-explained

  • 2
    boris_kalchev avatar :-|
    Борис

    "...иначе смятания за много сигурен стандарт за криптиране на интернет трафик OpenSSL."

    "Open Secure Sockets Layer, известен и с новото си име Transport Layer Security (TLS).."

    OpenSSL не е стандарт, а просто една от широко-използваните имплементации на TLS and SSL стандартите. Има и други широко използвани имплементации на тези стандарти.

    http://en.wikipedia.org/wiki/Comparison_of_TLS_implementations

  • 3
    boris_kalchev avatar :-|
    Борис
  • 4
    kalnik avatar :-|
    Калник

    "В случай че сайтът все още не е оправил проблема, няма смисъл да сменяте паролата, докато това не бъде направено."

    Всъщност, дори да е оправен проблемът, не може да се разчита, че всичко е наред, ако не са си подновили и сертификата. Възможността чрез Heartbleed да се извлече частният ключ на сертификата е много по-сериозна опасност, отколкото изтичането на няколко потребителски пароли. При компрометиран сертификат става възможно да се подслушва целия криптиран трафик, ако не се поддържа Perfect Forward Secrecy (в този случай може да се декриптира и предварително записан трафик). Отделно може да се прави Man-In-the-Midlle атака, при която пада всякаква защита. За съжаление, някои браузъри не проверяват списъка с анулирани сертификати, така че трябва да го проверявате на ръка.

    Абе накратко, ако сте параноици, имате пълни основания да подозирате всички. Ако ли не - кютайте си както досега. Но поне помислете да смените част от паролите си, така че никъде да не използвате една и съща парола.

  • 5
    hlr35358963 avatar :-|
    hlr35358963

    "Самият Сегелман също е признал, че е допуснал грешката и е предал кода, без да бъде валидиран."
    Невярно, кодът написан от Сегелман е бил прегледан от Стивън Хенсън, един от четиримата главни разработчици на OpenSSL, но бъгът е бил пропуснат.

    "Други специалисти определят проблема като напълно неволна техническа грешка. Тъй като OpenSSL е проект с отворен код, такива неща се смятат за нормални, а хвърлянето на вината върху конкретен човек не е редно."

    Несъмнено, но фактът, че впоследствие в OpenSSL библиотеката са подменени стандартните функции за алокация на памет, по начин, който прави невъзможно да се засече своевременно въпросният бъг със средства специално предназначени за целта, буди известни подозрения. Интересно е дали някой е проучил кой е авторът на тази промяна и възможни връзки със Сегелман и Хенсън.

  • 6
    sasvirco avatar :-|
    sasvirco

    Други специалисти определят проблема като напълно неволна техническа грешка. Тъй като OpenSSL е проект с отворен код, такива неща се смятат за нормални, а хвърлянето на вината върху конкретен човек не е редно.

    -----

    Ползвам софтуер с "отворен код" от години, и в големите проекти там въобще не се смятат за нормални такива работи...

  • 7
    nedumai avatar :-|
    nedumai

    TLS било новото име на OpenSSL?!! Бхаххах

  • 8
    stein avatar :-|
    stein

    С две думи: нищо фатално. Хубавото е, че всеки може да провери историята и да се убеди има или не умисъл. А специалистите да сканират кода още веднъж за подобни проблеми.

  • 9
    kombainera avatar :-|
    kombainera

    Миналата седмица открих, че банката, при която имам онлайн банкиране, не покрива хартблийд тестовете, които са посочени и в тази статия. Писах им с молба да обърнат внимание на проблема. От тогава от тях - ни вест, ни кост - а порталът им на онлайн банкиране продължава да се проваля на тестовете. Т.е. ако има проблем, още не са го оправили. И кво праим с'а?

  • 10
    epoc avatar :-|
    epoc

    До коментар [#2] от "Борис":
    До коментар [#7] от "nedumai":

    Бе коментар. И на мен ми идеше да се намеся, но сте го направили преди мен.

    Автора, моля не бъркай стандарт с имплементация. Ако OpenSSL беше стандарт, то и Майкрософт щеше да е засегнат, както и старите версии на библиотеката.

    OpenSSL е просто една от разновидностите на софтуерна реализация на SSL и TLS, които са протоколи за криптиране със симетричен ключ и за момента са си сигурни. Даже старите версии на OpenSSL са сигурни, проблемите са в тези от 2012 досега и то само ако си ъпгрейдвал системата междувременно.

    Да не говорим, че тук авторът сам си противоречи:

    "Open Secure Sockets Layer, известен и с новото си име Transport Layer Security (TLS), е метод за криптиране на информацията, която се прехвърля по интернет. "

    "OpenSSL е отворена версия на SSL, която е една от най-използваните."

    Тоест - или е "метод за криптиране" - или е "отворена версия" - кое от двете?

    Глупостта "отворена версия" няма изобщо да я коментирам - това да се чете като "версия с отворен код" или "реализация/имплементация с отворен код".

    Авторе, образовайте се, питайте, идете при сисадмина - може той да знае за какво става въпрос. Имал съм си вземане/даване с IT журналисти - след 2 издънки с интервюта се наложи да искаме всеки материал преди публикацията и да оправяме откровените глупости. ПИТАЙТЕ. Има кой. Недейте да си мислите, че минава ей така, между другото, забелязва се.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

Дигитални модели

Дигитални модели

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK