windows 7 Review bit-info.com on alexa.com

Уязвимость в SSL

Дата публикации: 15.04.2014

Washington Post, Нью-Йорк Уязвимость популярного интернет-протокола OpenSSL, известная как Heartbleed (в переводе на русский - кровоточащее сердце), может привести к серьезным нарушениям в работе Всемирной сети. 

По мнению ряда экспертов, Уязвимость и ее последствия оказались куда более серьезными, чем предполагалось ранее. Согласно новым данным, хакеры могут использовать ее для того, чтобы украсть так называемый "сертификат безопасности", подтверждающий подлинность сайта, чтобы создать поддельный сайт, неотличимый от подлинного, и собирать через него личные данные пользователей, включая платежную информацию. Для исправления данной уязвимости необходим значительный объем работы, который может вызвать серьезные нарушения в работе систем обеспечения безопасности в интернете.

О том, что уязвимостью можно воспользоваться с целью кражи сертификата подлинности, стало известно после того, как компания CloudFlare объявила конкурс среди хакеров, предложив им украсть сертификат со специально созданного сервера, после чего выслать "подписанное" с помощью сертификата сообщение компании в подтверждение. Первое сообщение о подтверждении кражи сертификата было отправлено в компанию через 3 часа после начала конкурса. Получивший сертификат хакер признался, что для этого он сделал 2,5 млн запросов к серверу и потратил три часа. Тем не менее, его успех подтверждает, что кража сертификата подлинности, считавшаяся ранее невозможной, на самом деле осуществима.

Когда пользователь заходит на сайт, браузер проверяет сертификат подлинности сайта, сверяя его со списком поддельных сертификатов. Данные списки, как правило, загружаются браузером через интернет, и до недавнего времени были короткими, так как большинство сайтов редко меняет свои сертификаты подлинности. Heartbleed, в свою очередь, сделал уязвимыми до двух третей всех сайтов в интернете, что означает несколько десятков тысяч сайтов, которые вынуждены будут сменить сертификаты подлинности. Таким образом, списки сертификатов подлинности, существенно увеличатся в объемах - до нескольких сотен мегабайтов. Этот объем данных, загружаемый при просмотре каждой web-страницы, и может вызвать замедление в работе браузера и вызвать серьезные неудобства у пользователя.

Следует отметить, что наиболее важные сайты, такие, например, как сайты правительств различных стран и банков, не были подвержены уязвимости Heartbleed.