10 апреля 2014

Уязвимость Heartbleed угрожает вашим данным на сотнях сайтов

Безопасность Новости Советы

Обновление: Статья дополнена списком сервисов, на которых можно идти и менять пароли прямо сейчас.

Если какая-то компьютерная ошибка удостаивается времени в утренних теленовостях, можно не сомневаться, что дело серьезное. Сейчас у нас на руках именно такой случай — критическая уязвимость под названием Heartbleed (буквально «Сердце кровью обливается») была обнаружена в OpenSSL, наверное, самой распространенной в Интернете библиотеке шифрования данных. Звучит немного загадочно, но я проясню ситуацию буквально в пару абзацев.

heart

Когда вы устанавливаете защищенное соединение с веб-сайтом, будь то Google, Facebook или ваш онлайн-банк, данные шифруются при помощи протокола SSL/TLS. Чтобы это делать, многие популярные веб-сайты применяют бесплатную библиотеку OpenSSL. На этой неделе разработчики OpenSSL устранили серьезную ошибку, которая вкралась в функцию TLS под названием Heartbeat («Сердцебиение»). Суть ошибки в том, что атакующий может прочитать до 64 Кб оперативной памяти сервера.

Другими словами, этот баг позволяет любому пользователю Сети прочитать память на сервере, который защищен уязвимой версией библиотеки. В худшем случае этот небольшой блок памяти может содержать что-то важное — имена пользователей, пароли или даже секретный ключ, который используется сервером для шифровки соединений с клиентами. К тому же эксплуатация Heartbleed не оставляет следов, поэтому нет надежного способа определить, был ли сервер взломан и какие данные при этом украдены.

Хорошая новость: баг в OpenSSL исправлен. Плохая новость: никто не гарантирует, что каждый владелец сайта, применяющего OpenSSL, срочно пойдет и залатает дырку. Но это еще не все плохие новости: ошибку не только легко эксплуатировать, вдобавок она существовала добрых два года! Это значит, что сертификаты безопасности многих популярных сайтов могли быть украдены, равно как и пользовательские данные, включая пароли.
 

План действий для обычного пользователя:

Обновление: на сайте Mashable собран список официальных заявлений от разных веб-сервисов по поводу Heartbleed. Чтобы не усложнять себе жизнь чтением списков и проверкой сертификатов (об этом ниже), можете просто пойти и сменить пароли на всех этих сервисах: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. Пароли должны быть везде разные!

  • Проверьте, были ли уязвимы ваши любимые сайты. Есть онлайн-инструменты, чтобы проверить наличие уязвимости Heartbleed, но очень важно знать, была ли уязвимость в прошлом. К счастью, в Сети есть длинный список популярных сайтов, которые были проверены на уязвимость. Хорошие новости: PayPal и Google не подвержены багу. Плохие новости: Yahoo!, Facebook, Flickr, Duckduckgo, LastPass, Redtube, Avito.ru, Hidemyass, 500px и многие другие были уязвимы. Если вам ценен аккаунт на одном из популярных сайтов, готовьтесь действовать.
  • Проверьте, уязвим ли сайт сейчас. Для этого есть удобный инструмент.
heartbleed1
  • Когда владельцы сайта исправят ошибку, им крайне желательно перевыпустить свои сертификаты безопасности. Поэтому проверьте сертификат сервера и убедитесь, что пользуетесь новым сертификатом (выпущенным 8 апреля или позднее). Чтобы сделать это, включите проверку отозванных сертификатов в вашем браузере. Вот пример настроек Google Chrome:
    heartbleed2r
    Это предотвратит пользование старыми (возможно, крадеными) сертификатами. Чтобы проверить дату выпуска сертификата вручную, нажмите на зеленый замочек в адресной строке и ссылку «Информация сертификата» на закладке «Соединение»:
heartbleed3r
  • Самое важное — когда ошибка на сервере устранена, а сертификат перевыпущен, немедленно смените свой пароль учетной записи. При этом для каждого сервиса придется придумать свой собственный, уникальный пароль. Это, кстати, может быть хорошим поводом задуматься о надежности своих паролей и начать применять простые в запоминании, но стойкие пароли. Также вы можете проверить надежность своего нового пароля при помощи нашего онлайн-сервиса Password Checker.