Компютърни специалисти определят проблем в софтуера OpenSSL като катастрофален

Компютърни специалисти определят проблем в софтуера OpenSSL като катастрофален

© Pawel Kopczynski, Reuters



През последните няколко дни компютърни специалисти по света усилено дискутират новооткрит проблем в сигурността на софтуера OpenSSL. Той е използван като популярен метод за криптиране на данните при преноса им между сървърите, като се смяташе и за една от сигурните технологии в сферата.


Компанията Codenomicon обаче обяви, че е открила много сериозен пробив в сигурността на OpenSSL, който кръсти Heartbleed. Пробивът позволява на всеки човек в интернет да чете елементи от паметта на системите, които използват уязвимите версии на OpenSSL.


"На практика хакерът може да вземе 64KB памет от сървъра и да прочете данните в тях. Атаката не оставя следи и може да бъде правена многократно, като се взимат различни 64KB късчета от паметта. Това означава, че всичко в паметта, SSL ключовете, потребителски пароли, всичко, е уязвимо. И трябва да приемате, че всичко е компрометирано", коментира специалистът по киберсигурност Брус Шнейер в своя сайт.




От определя проблема като "катастрофален" и допълва, че "в скала от 1 до 10, това е 11". Добрата новина е, че проблемът вече е отстранен и сървърите, които използват OpenSSL трябва да бъдат обновени с новия софтуер.


В работата по откриването на Heartbleed са участвали и Google Security. След откриването на проблема двете компании са се свързали с ключови специалисти и бързо са разработили решение, което да е готово и дори предадено на най-уязвимите и критични сървъри още преди да бъде обявен.


Не е ясно колко сайтове са засегнати от проблема. До момента Facebook, Yahoо, Google и Microsoft вече обявиха, че са извършили необходимите корекции или правят проверка, за да установят потенциални уязвими сървъри в инфраструктурите си. Въпреки това се препоръчва потребителите да променят паролите на акаунтите си.


Всичко, което трябва да знаете за:
Коментари (12)
  1. Подредба: Сортирай
  1. 1 Профил на ilinko
    ilinko
    Рейтинг: 895 Неутрално

    Всъщност Microsoft-ските сървъри са засегнати по-малко от другите, защото не използват OpenSSL.

  2. 2 Профил на kollin
    kollin
    Рейтинг: 476 Весело

    Actually, the heartbleed bug isn't very likely to leak much of value. The attacker need quite a bit of luck with a LOT of analysis in the raw 64KiB blocks returned.
    Don't cause panic from paranoia, its not constructive!!!

    How to tell Heretics from Catholics?Papal legate Arnaud Amalric:Caedite eos. Novit enim Dominus qui sunt eius.(Kill them all, the Lord will recognise His own.)
  3. 3 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 738 Весело

    До коментар [#1] от "ilinko":

    Всъщност, въобще не са засегнати.

  4. 4 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 738 Весело

    Така става, когато не се съблюдават правилни практики при разработка: unit testing, integration testing, peer code-review, use cases...

    Още по-комичното е, че бъгът е удивително прост.

  5. 5 Профил на Ksharp
    Ksharp
    Рейтинг: 385 Неутрално

    До коментар [#4] от "Знам и Мога":

    За каква разработка може да става въпрос?
    ОпенССЛ обществото са няколко човека, които многократно искаха помощ и обясняваха, че това е безплатен софтуер. Това, че комерсиалните сайтове разчитат на нещо, което няма комерсиален съпорт, си е техен проблем. Платени имплементации на ТЛС има, но са решили да изградят целите си инфраструктури на безплатна основа.

    Като Северити бъга е доста проблемен от гледна точка на риск асесмънта, иначе ще му трябват доста опити на 'хакера'.
    Без много паника, просто си сменете паролите (пак).

  6. 6 Профил на ilinko
    ilinko
    Рейтинг: 895 Неутрално

    До коментар [#3] от "Знам и Мога":

    Всъщност не са, ако са изцяло IIS, но не е много сигурно

  7. 7 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 738 Весело

    До коментар [#5] от "Ksharp":

    Аз пък си мислех, че Linux е сигурен, ама много сигурен, защото е базиран на Unix, на Линукс и не знам си какво, защото е с отворен код и всеки може да провери и види какви са нередностите, че отвореният код въобще е много хубаво нещо, а Windows е боза, несигурна, пълна с вируси, защото е на MS и не е с отворен код.

    Подобна грешка може да стане винаги. Само че има едно много особено общество, дето, като стане нещо в Windows, вдига олелия до небесата. Стане ли обаче нещо с Linux / Unix, изведнъж проблемът бива омаловажен, изкарва се незначителен, бил потребителска грешка, грешка на компанията и не знам си какво още, ала никога на програмистите, на Linux и на отворения код въобще.

    Апропо, няма полза да си сменяш паролата, докато сървърът не се закърпи.

  8. 8 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 738 Весело

    До коментар [#6] от "ilinko":

    То не е разумно да имаш Windows Server и да сложиш на него друг HTTP сървър. Ако си направил подобна простотия, страданието ти е напълно заслужено.

  9. 9 Профил на ilinko
    ilinko
    Рейтинг: 895 Неутрално

    До коментар [#8] от "Знам и Мога":

    Аз лично нямам никакво страдание

    Просто исках да кажа, че Майкрософските сървъри не са засегнати, но по-добре човек да не се успокоява, че всичко е 100% ОК. Ако ти си сигурен, че при теб няма грам OpenSSL и че данните са ти на сигурно място, по-добре за теб. Нямам намерение да споря или да се пиша специалист. Поздрави

  10. 10 Профил на Знам и Мога
    Знам и Мога
    Рейтинг: 738 Весело

    До коментар [#9] от "ilinko":

    Спокойно, не беше лично. Извинявай, ако си приел второто лице като директно обвинение към теб. Искрено имах в предвид, че е простотия да смесваш IIS (и .NET) с разни като OpenSSL.

  11. 11 Профил на ilinko
    ilinko
    Рейтинг: 895 Неутрално

    До коментар [#10] от "Знам и Мога":

    Не съм се засегнал, просто не искам да споря, но сигурно има и такива случаи. Ако някой върти Апаш на Уиндоус сървър По-добре да се има впредвид и да се провери, отколкото да си мисли човек, че всичко е ОК.

  12. 12 Профил на epoc
    epoc
    Рейтинг: 1313 Неутрално

    До коментар [#5] от "Ksharp":

    И какво софтуерът е безплатен?

    Това е великата заблуда на опен сорс обществото - че като кодът е достъпен (отворен, безплатен и т.н.) всеки добросъвестно ще го прегледа и като открие грешка - ще я докладва или поправи.

    Да ама не. Всичко е въпрос на морал. Да не говорим, че се ползва като оправдание да се пише некачествен код с идеята някой друг да го оправи. Честно - не съм чувал да има quality assurance в софтуера с отворен код, точно защото няма някой, който да поеме отговорността за това. Но като се опре как да си набутаме пакета в ядрото всички са първа писта.....

    Иначе като гледам в нета всички платени Linux дистрибуции са засегнати - язък за парите за поддръжка.....

    Икономедия се превърна в трибуна на тролове ЗА и ПРОТИВ правителството. Очевидно е, че няма какво да се говори или коментира с такива драскачи....




За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK