Специалисты по безопасности обнаружили уязвимость в некоторых версиях протокола шифрования OpenSSL, одного из самых популярных в интернете. Уязвимость, получившая название «Сердечное кровотечение», по оценке обнаруживших ее сотрудников Google и компании по инфобезопасности Codenomicon, может затронуть две трети сайтов в интернете.
Вчера исследователи сообщили, что с помощью «Сердечного кровотечения» получили доступ к персональным данным пользователей Yahoo!, пишет газета The Wall Street Journal. Позже представитель Yahoo! заявил газете, что компания «внесла необходимые коррективы». Популярные сайты Google, Amazon.com и Ebay для пользователей безопасны, согласно тестовой программе, разработанной компанией Qualys.
Уязвимость использует проблему некоторых версий OpenSSL, бесплатного набора инструментов шифрования информации, который использует львиная доля сайтов в интернете. Разработку OpenSSL координирует четыре ключевых программиста из Европы, и только один из них числит работу над протоколом своим основным местом работы. Ограниченность ресурсов, доступных создателям протокола шифрования, представляют проблему для веб-разработчиков и вызывают интерес у хакеров и шпионов различных государств.
Сайты все больше используют средства шифрования для того, чтобы скрыть персональные данные - такие, как имена пользователей, их пароли или номера пластиковых карт. Это позволяет защитить от хакеров, которые пытаются перехватить чужие данные в кофейнях и других публичных местах доступа. Для защиты используют шифрование SSL или TSL - при их использовании появляется значок замка в адресной строке браузера. Уязвимые для «Сердечного кровотечения» серверы хранят пользовательские данные в памяти в незашифрованном виде, и хакеры могут получить к ним доступ.
Разработка протоколов шифрования - сложный процесс, поэтому многие сайты используют бесплатный набор инструментов шифрования OpenSSL. Его выпустили около 15 лет назад разработчики, которые хотели придумать легкую в использовании схему шифрования для интернет-трафика. Годовой бюджет за 2013 г. организации OpenSSL Software Foundation, управляющей финансированием разработок этой системы составил меньше $1 млн, сообщил газете The Wall Street Journal президент организации Стив Маркисс.
Большинство сайтов в интернете оказалось неготовым к тому, чтобы оперативно обновить протоколы шифрования и обезопасить пользователей от «Сердечного кровотечения».
«Если вам нужна сильная анонимность или защита персональных данных, вам лучше не заходить в интернет вообще в течение нескольких дней, пока ситуация не уляжется», - написал в своем блоге президент Tor Project Роджер Динглдайн. Tor Project выпускает браузер, защищенный от посторонней слежки за его пользователями.