Словосочетание Heartbleed Bug изначально имеет под собой глубоко технические корни, но так уж случилось, что о нем за последнюю неделю рассказывали и в сводках новостей на телевидении, на радио и, конечно же, в интернете. Почему? Дело в том, что под Heartbleed Bug с прошлой недели стали понимать критически опасный баг, выявленный в крайне популярном программном обеспечении для интернет-шифрования OpenSSL.
Критические баги сами по себе довольно опасны, так как зачастую позволяют скомпрометировать не только данные, находящиеся под управлением уязвимой программы, но и другие сведения в ОС, а когда популярность уязвимой программы таковы, что она используется на 75% веб-серверов в сети, то картину без преувеличения можно назвать катастрофической. Хуже того, библиотеки OpenSSL используются в сетевом оборудовании таких компаний, как Cisco или Juniper, что ставит под удар множество корпоративных защищенных сетей, вдобавок к этому, многие мобильные программы для защиты данных и целостности байт-кода подписывают SSL-сертификатами. В интернете коммерческая подпись SSL-сертификатов — это также прибыльный бизнес, который теперь оказывается под ударом из-за необходимости отзыва почти миллиона сертификатов.
История вопроса
О Heartbleed Bug стало известно еще в понедельник, тогда как во вторник разработчики OpenSSL уже выпустили исправление для библиотеки OpenSSL, которая допускала возможность реализации атаки. Со вторника многие серверные операционные системы начали предлагать пользователям возможность обновления программного обеспечения. Однако и здесь не все так просто. OpenSSL — это клиент-серверная система. Она работает так: на сервере генерируются цифровые ключи, которые при подключении передаются клиенту и хранятся на нем (могут очень долго — более года). Проблема была выявлена в механизме генерации ключей и самих ключах. Поэтому если сервер обновляет программное обеспечение, то клиент все равно остается уязвим, так как у него остались старые ключи. Эти ключи нужно вручную удались или отозвать, после чего создать для клиента новые и работать уже через них.
Если учесть, что далеко не все пользователи понимают термин «отзыв цифрового сертификата», а еше меньшее количество понимает, как это сделать, а пользуются сертификатами почти все, то масштаб проблемы становится более или менее очевиден даже для неспециалиста. Хуже того, в некотором оборудовании, например в сетевых маршрутизаторах, SSL-ключи часто вшиваются в программное обеспечение устройства и отозвать их можно только с обновлением программной прошивки в целом.
Так, компании Cisco Systems и Juniper Networks на неделе заявили, что «некоторые» из устройств содержат в себе Heartbleed Bug. Это означает, что потенциальный атакующий имеет техническую возможность перехватывать имена пользователей, пароли и закрытую информацию, проходящую в корпоративных сетях. Крупные операторы связи и поставщики интернет-сервисов, такие как Google, Yahoo, Facebook и Amazon еще во вторник сообщили об обновлении их библиотек OpenSSL на серверах. Однако в Cisco и Juniper говорят, что в их случае баг лежит в аппаратном обеспечении и здесь так просто от бага не получится избавиться. Более того, значительная часть оборудования корпоративное, поэтому здесь не получится просто взять и выключить сеть до модернизации оборудования.
Производители говорят, что многие из сетевых устройств, в частности домашние роутеры или маршрутизаторы, которые пользователи купят уже после анонса о Heartbleed Bug, также будут содержать в себе данный баг, ведь выпущены они были раньше публичного раскрытия данных. Дополнительная опасность здесь кроется в том, что защититься от бага не получится ни в случае установки межсетевого экрана, но даже через VPN-сеть.
В Cisco сообщили, что начали процесс обновления программного обеспечения в четверг, в Juniper признали, что не смогут его начать раньше следующей недели. Именно поэтому в Juniper пока не разглашают список уязвимых продуктов.
Что делать пользователям?
Что нужно знать обычному пользователю о Heartbleed Bug? Знать нужно следующее: данный баг затрагивает значительную часть интернета и разом его исправить не получится, поэтому в ближайшие дни (а может и недели) пользователям требуется особая осторожность при передаче данных в сети. На сегодня ИТ-специалисты расходятся во мнениях относительно того, насколько распространенным баг может быть. Также специалисты говорят, что уязвимый компонент OpenSSL присутствовал в программе по меньшей мере два года, а потому «знающие люди» им вполне могли уже давно пользоваться.
В антивирусной компании Sophos не склонны драматизировать ситуацию. По словам Честера Висниевски, технического консультанта Sophos, данный баг представляет собой традиционый критический баг, которые ранее обнаруживались и в Windows и Linux и других системах, однако в случае с SSL опасность в бОльшей степени кроется именно в громадной пользовательской аудитории бага.
В пресс-службах компаний Google, Yahoo и Facebook признали, что их серверы тоже использовали уязвимый софт, а потому (теоретически) пользователи их систем могли быть под ударом. Однако все указанные компании говорят, что сейчас у них системные крипто-библиотеки были обновлены. В Facebook говорят, что обновили OpenSSL еще до публичного анонса, так как задействованы в разработке указаной библиотеки.
Специалисты по ИТ-безопасности дают пользователям в общем-то стандартные рекомендации: обратиться к поставщику услуги и уточнить данные о сертификатах по Heartbleed Bug, по возможности сменить все пароли и не использовать один и тот же пароль для множества аккаунтов.
На сегодня независимые разработчики уже разместили в интернете ряд программ, которые позволяют установить, работаете ли вы с целевым ресурсом, который обновил библиотеку или же еще нет. Инструменты доступны по адресам: filippo.io, ssllabs.com или mozilla.org.
Кроме того, в Университете Мичигана в США была разработана система, использующая популярный софтверный сканер ZMap для выявления хостов, подверженных Heartbleed Bug. Он позволяет во время сканирования выявлять наличие на сервере криптографической библиотеки OpenSSL 1.0.1, пытаясь установить защищенное соединение и по заголовкам ответа определяя версии софта.
Публично о баге Heartbleed Bug стало известно 9 апреля. Тогда же в Мичигане провели первое сканирование с ZMap и опубликовали неутешительные итоги: минимум треть из сайтов, входящих в Alexa Top 1 Million подвержены багу по протоколоу TLS, еще 11% по HTTPS, 27% по Heartbeat Extension, тогда как 61% не используют элементы Heartbeat или уже обновились до безопасной версии. При этом, разработчики сканера по понятным причинам пока не приводят полный список уязвимых хостов. Более подробные данные обещаны на предстоящей неделе.
В анонимной беседе авторы говорят, что среди уязвимых сайтов есть социальные сети, сервисы хранения данных, а также проект Twitpic.com, применыемый для фото-шаринга через Twitter, несколько альтернативных Android-маркетов и сетей онлайн-рекламы.
По оценке Sophos, на полную ликвидацию последствий бага может уйти год, который потребуется на обновление системных прошивок, клиентских библиотек и другого софта.
Цунами сертификатов еще предстоит отозвать
Аналитическая компания Netcraft сегодня опубликовала собственные статистические данные, согласно которым в сети более 500 000 SSL-сертификатов, затронутых Heartbleed Bug, однако из этого количества только 30 000 сертификатов были перевыпущены, еще меньше были отозваны. Новые сертификаты уже были выпущены для таких проектов, как Yahoo, Adobe, CloudFlare, DuckDuckGo,GitHub, Reddit , Launchpad, PayPal, Netflix и Amazon CloudFront. При этом, в Netcraft говорят, что сегодня в веб-среде не отмечается какого-то повышенного темпа отзыва серитификатов. В среднем в сети ежесуточно обновляется по 30 000 сертификатов, поэтому пока нельзя говорить о массовом отзыве сертификатов и их обновлении.
При этом, организаторы проекта heartbleed.com, посвященного багу говорят, технически следовало бы отозваать все ранее выпущенные сертификаты, в том числе и те, что применяются для защиты электронной почты, IM-клиентов и некоторых VPN-сетей. Также на сайте heartbleed.com содержится подробное техническое описание бага.
В Netcraft говорят, что даже если сам пользователь отозвал сертификаты и получил новые от сервера, с которым работает, он технически может быть все равно подвержен атаке, так как нет никакой гарантии, аналогичные процедуры провел администратор сети, из которой пользователь выходит в интернет (если его соединение изначально защищено).
АНБ?
В пятницу Bloomberg News опубликовало анонимные данные со ссылкой на некие источники, близкие к Агентству Национальной безопасности США. Эти источники утверждают, что американская разведка знала о наличии бага в OpenSSL и активно им пользовалась «по меньшей мере два года», то есть с момента его появления. На фоне этого возникает резонный вопрос о причастности АНБ к реализации бага, так как ранее ведомство уже попадалось на искусственном встраивании багов в криптографические алгоритмы, в частности в RSA.
Источники в АНБ также говорят, что heartbleed использовался для получения логинов и паролей пользователей целевых сайтов и перехвата данных. Bloomberg отмечает, что если данные сведения верны, то АНБ потенциально могло иметь доступ к данным сотен миллионов людей по всему миру.
С другой стороны, независимые эксперты говорят, что если АНБ действительно знало о баге, то в его же интересах было его как можно скорее закрыть, так как при помощи SSL защищались многие американские правительственные ресурсы. На фоне постоянно звучавших заявлений Вашингтона о китаской хакерской угрозы, искусственная поддержка багов выглядит несколько нелогичной.
В Управлении по связям с общественностью АНБ опровергли информацию Bloomberg, заявив, что ведомство не имело информации о баге в SSL и ознакомилось с этой информацией только тогда, когда об этом было публично объявлено.
Напомним, что ранее газета Washington Post писала, что АНБ США выделило как минимум 25 млн долларов в 2013 году на финансирование уязвимостей «нулевого дня» в продуктах частных поставщиков.