Уязвимость Heartbleed может привести к нарушению работы интернета

10:20, 15 Апр, 2014
Издание Washington Post сообщило об уязвимости «безопасного» протокола OpenSSL, которая может быть использована для нарушения работы всего Интернета. Ошибка известна под названием Heartbleed.

Как считают многие эксперты, данная уязвимость может иметь гораздо более серьезные последствия, чем считалось раньше. По последней информации, хакеры, используя Heartbleed, могут получить доступ к так называемому «сертификату безопасности». Поддельный сертификат позволяет пройти проверку на подлинность ресурса, с его помощью создается поддельный сайт, внешне аналогичный исходному, который сможет собирать личную информацию пользователей, в том числе данные пластиковых карточек и банковских счетов. Устранение данной ошибки потребует больших затрат и займет длительное время. Такие действия вызовут сбои в системе безопасности сайтов Всемирной Сети.

Уязвимость Heartbleed стала известна как средство для кражи сертификата безопасности после проведения хакерского конкурса, организованного CloudFare. Задачей участников проекта стало получение доступа к сертификату через специально созданный для этого сервер, после этого было необходимо отправить сообщение в компанию с подтверждением, подписанным этим сертификатом. Организаторы конкурса получили первое сообщение о выполненной работе спустя всего 3 часа после начала работ. Хакер получил доступ к «системе безопасности» сайта путем отправки 2,5 миллионов запросов на сервер в течение трех часов. Таким образом, кража сертификата подлинности стала вполне реальной, хотя ранее эксперты утверждали, что такую задачу невозможно осуществить.

Браузер пользователя, который заходит на сайт, сверяет сертификат безопасности ресурса со списком доверенных сертификатов. Списки доверенных сертификатов браузер получает чаще всего из интернета. Еще недавно количество сертификатов было относительно невелико из-за того, что многие сайты не считали необходимым менять свои протоколы безопасности. После выявления Heartbleed уязвимыми стали почти две трети ресурсов в сети общим количеством в несколько десятков тысяч сайтов. Теперь сайты заменят сертификаты подлинности. Уязвимость привела к тому, что списки сертификатов буду значительно увеличены в объеме и могут достичь нескольких сотен мегабайт, что существенно снизит скорость загрузки интернет-страниц и вызовет дискомфорт в работе.

В то же время было отмечено, что такие сайты, как порталы государственных органов различных государств и банков не имеют подобной уязвимости.

Поделитесь этой новостью
Комментарии (0)

Ваш адрес email не будет опубликован. Обязательные поля помечены *