11 июня 2014

Сердечное кровотечение: обзор ущерба от Heartbleed

Бизнес

Прошло два месяца с момента обнародования критической уязвимости под названием Heartbleed в библиотеке криптографии OpenSSL. Этот баг, скорее всего, станет самым важным в 2014 году или даже за все десятилетие, затмив априори большинство других неприятностей, которые еще даже и ​​не случились. Если только какая-то из них не затронет весь интернет. А в случае с Heartbleed это уже факт: в Сети зазвучала настоящая боевая тревога. Эксперт по вопросам безопасности Брюс Шнайер присвоил инциденту 11 баллов по шкале угроз от 1 до 10. Некоторые специалисты называют Heartbleed величайшим бедствием интернета за всю историю.

А что же с фактическим ущербом? Был ли он? Короткий ответ: «Да, но…». А вот длинный ответ в самом деле получится пространным.

7 апреля о Heartbleed стало известно всем, появилось большое число публикаций о пострадавших, способах предотвратить судный день, и были расписаны основные последствия.

Теперь внимание общественности к Heartbleedпостепенно ослабевает, хотя недавнее обнаружение еще шести багов в OpenSSL вынудило всех освежить память. Но сама проблема не исчезла полностью, и уместно говорить о том, что история пока развивается.

800_1

Пока есть только несколько известных (т.е. открыто опубликованных) случаев реальной эксплуатации Hearbleed. Например, утекли некоторые пароли Yahoo!, по-видимому, как раз 8 апреля, на следующий день после раскрытия информации о Heartbleed.

Дж. Алекс Холдерман, доцент кафедры электротехники и компьютерных наук Мичиганского университета, сообщил о попытке неизвестных из Китая атаковать сервер университета через уязвимость Heartbleed, также 8 апреля. «Сервер» на самом деле оказался приманкой, созданной специально для поимки злоумышленников. В течение следующей недели Холдерман и его команда зафиксировали более 40 попыток использования Heartbleed, половина которых осуществлялась из КНР.

11 апреля (через четыре дня после раскрытия Heartbleed) CloudFlareпредложила специалистам по безопасности попытаться использовать Heartbleed для кражи ключей SSL с сервера. Дважды это получилось. Один из этих исследователей Федор Индутни написал скрипт Node.js, который сгенерировал свыше 2,5 млн. запросов данных за все время теста. Индутни, в конечном итоге, опубликовал некоторые подробности своей работы здесь.

Через несколько дней после раскрытия Heartbleed Канадское налоговое управление сообщило, что некто воспользовался Heartbleed (опять) 8 апреля для кражи номеров социального страхования 900 налогоплательщиков. Как раз вовремя, так как Канадское налоговое управление установило крайний срок подачи налоговых деклараций до 5 мая.

16 апреля девятнадцатилетний студент был задержан и обвинен в «несанкционированном использовании компьютера» и «злоупотреблении данными». Это был первый и, по-видимому, единственный пока арест, связанный с этой уязвимостью.

800_2

Несколько аккаунтов в Mumsnet, соцсети для родителей, были взломаны через несколько дней после раскрытия Heartbleed, который скомпрометировал учетные данные владельцев. Хакер, по сути, заявил о себе в Сети, утверждая, что хотел показать, насколько серьезна проблема Heartbleed. Смотрите сами.

Новости BBCсообщили 29 апреля, что ряд исследователей успешно использовали Heartbleedдля проникновения в несколько андерграундных форумов, используемых киберпреступниками, куда в противном случае почти невозможно попасть. Довольно забавно видеть, когда киберзлоумышленникам платят их же монетой (хотя в этом и нет ничего нового). Тем не менее, свои логова они, должно быть, проворно законопатили.

Хуже фактического вреда — ущерб потенциальный, которого трудно или невозможно избежать.

Например, сразу после раскрытия Heartbleed Google известила об устранении уязвимости в своих сервисах, утверждая, что все версии Android теперь не подвержены Heartbleed «за некоторым исключением в Android 4.1.1«, которая, как оказалось, является наиболее широко распространенным вариантом Android (29% на 1 июня и около 34% — в середине апреля). Потенциально уязвимость могла быть устранена, но неясно, сколько устройств уже обновлены, а скольким еще только предстоит.

Еще хуже само количество устройств, пострадавших от бага. Wired и некоторые другие сообщили, что домашние маршрутизаторы и корпоративные брандмауэры, принтеры, видеокамеры, термостаты, бытовая техника и даже радионяни оказались уязвимы, и стоит вопрос о возможности исправления вообще и его способе в частности — автоматическом или вручную.

Промышленные системы управления Siemens, контролирующие тяжелое оборудование на электростанциях и предприятиях очистки сточных вод тоже оказались уязвимы, но Siemens сообщила о том, что внесла исправления в конце апреля.

В конце мая португальский специалист по безопасности Луиш Гранжейя описал способ использования Heartbleedв сети Wi-Fi. По словам Гранжейи, даже разместившего доказательство концепции, новый метод атаки позволяет вытягивать данные из корпоративных маршрутизаторов, использующих «ту же процедуру Heartbleed для Wi-Fi вместо открытого Веба«, или с устройств на Android, пользующихся зараженным маршрутизатором.

Таким образом, похоже, история еще далека от завершения. Несмотря на то, что большинство серверов в интернете кажутся пропатченными, по некоторым оценкам, до сих пор сотни тысяч серверов подвержены «обескровливанию сердца».

Неясно, был ли Heartbleed задействован до его раскрытия. Точных подтверждений этому нет, но ничто и не мешает сомневаться в полноте имеющихся на этот счет данных. Весьма неудивительно, что поползли слухи о том, что АНБ могло знать о Heartbleed и пользоваться им на протяжении, по крайней мере, двух лет до публичного раскрытия информации. АНБ это, конечно, отрицает, но слухи — вещь упрямая, особенно в таких случаях.

Да и сам Heartbleed никуда не денется, по крайней мере, еще какое-то время.

И все-таки, есть хотя бы один положительный момент как от Heartbleed, так и от более поздних (и менее причудливых) находок OpenSSLProject. Они привлекают внимание широкой общественности и технических экспертов к паролям и безопасности в целом.

Обеспечение безопасности в интернете требует активных усилий со стороны всех заинтересованных сторон. Мало кто усомнится в истинности этого утверждения, но время от времени на это стоит хотя бы намекать, пусть даже и так толсто, как при помощи Heartbleed.