На днях стало известно о существовании дыры в безопасности протокола шифрования данных OpenSSL. Проблема существует уже 2 года. В течение всего этого периода хакеры, которые могли знать о дыре, бесконтрольно могли читать вашу переписку, знать информацию о ваши банковские данные, вашу почту и т.д.
А теперь обо всем и доступным языком.
Дыру в безопасности назвали Heartbleed. Эксперты по безопасности считают, что это самая большая угроза безопасности частной информации за все время существования интернета - пишет Businessinsider.
Причем это не просто баг в каком-либо приложении, который легко можно апдейтнуть. Дыра в безопасности серверов, которые обеспечивают безопасную передачу данных в таких сервисах как Facebook, Gmail и тысячах других.
Итак, что такое "Heartbleed баг"?
Heartbleed - дыра в безопасности OpenSSL - опенсорсный стандарт шифрования данных, который используют большинство сайтов для шифрования данных, которые проходят между сервером и пользователем. Это дает возможность шифровать ваши данные при обмене сообщениями в чате или электронной почте.
Шифрование происходит таким образом, что если кто-то перехватит вашу информацию - это будет лишь набор символов, который не имеет никакого смысла.
Когда компьютеры устанавливают между собой безопасное соединение через OpenSSL - они отправляют друг другу так называемый heartbeat (сердцебиение) - небольшой пакет данных, который просит дать ответ на запрос.
Из-за ошибки в программном коде OpenSSL злоумышленники получили возможность отправить неавторизованный heartbeat таким образом, что сервер будет воспринимать его как авторизованный компьютер и может получить доступ к данным, которые хранятся, в частности, в памяти серверов.
Насколько высока угроза для пользователя?
Это наивысший уровень угрозы из существующих до сегодняшнего дня. Веб серверы могут держать в своей активной памяти много информации, включая пароли, контент, который пользователь загрузил. Даже номера кредитных карточек.
Но самое опасное то, что у хакеров появилась возможность доступа к ключам шифрования - кодов, которые дают возможность превратить бессмысленную информацию, которая передается между пользователем и сервером, в нормальную.
Имея такие ключи хакер может перехватывать зашифрованные данные (даже не имея доступа к серверу) и расшифровывать ее. Например, можно подключиться к вашему интернет-кабелю, и снимать с него всю вашу переписку по почте.
То есть это означает, что пока на сервере не будут изменены ключи безопасности - хакеры смогут продолжать читать вашу информацию.
Касается ли это вас лично?
Скорее всего, да. Это может касаться вас как прямо, так и косвенно. OpenSSL - самый популярный стандарт шифрования в интернете. Ваши любимые сайты, сайт вашей компании, сайт, где вы оплачиваете коммунальные услуги или покупаете книги - многие из них используют OpenSSL.
По информации компании Netcraft, из почти 1 миллиарда существующих на сегодняшний день сайтов, 66% используют технологии на базе SSL.
Что вы можете сделать, чтобы защитить себя?
Поскольку проблема существует уже более 2 лет, и процесс доступа к вашим данным не оставлял никаких следов вмешательства - это означает, что так или иначе кто-то мог получить доступ к вашим данным. Важно изменить ваши пароли. Особенно для сервисов, где есть важная и чувствительная информация. Однако, если сайт, где хранится эта информация, не обновил OpenSSL, смена вашего пароля ничего не даст - угроза доступа к данным будет сохраняться.
Почтовые сервисы Gmail и Yahoo.Mail уже "залатали" дыру, и просят пользователей изменить свои пароли. Аналогичная ситуация с социальной сетью Facebook и сервисом хранения данных Dropbox.
Комментарии