В OpenSSL найдена ошибка, которая позволяет получать не санкционированный доступ к ключам и паролям

11.04.2014 |

Александр Абрамов.

По сообщению OpenNet.ru, в одной из популярнейших криптографической библиотеке OpenSSL, выявлена серьезная ошибка в коде, которая затрагивает очень большое количество сайтов, серверов и клиентских приложений. Суть проблемы: у злоумышленников была возможность получить доступ к 64Кб памяти при установлении шифровального соединения во время клиентского или серверного процесса. Это уязвимость связана с тем, что в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS отсутствовала проверка границ.

Код для программы писался группой специалистов. Данную ошибку совершил один программист, но его недоработка привела к тому, что любой человек мог получить доступ к оперативной памяти компьютера пользователя, кто использовал для защиты данное программное обеспечение.

В области памяти, куда была возможность доступа, могли находиться закрытые ключи и пароли, а также другая информация, которая должна передаваться по каналам связи в зашифрованном виде.

Существует вероятность, что с марта 2012 года, у некоторых лиц, которые знали о данной ошибке, была вероятность получения секретных данных.

Данную проблему обнаружили специалисты Codenomicon. Одновременно с ними, об этом же сообщил сотрудник Google Security Нил Мехта, который сразу же связался со специалистами The OpenSSL Project, чтобы те незамедлительно внесли изменения в код программы, для закрытия «дыры».

По мнению Ars, почти 70 процентов серверов, которые используют протокол HTTPS, рискуют конфиденциальностью паролей и ключей.

Компании Gandi и CloudFlare, сообщили, что им было сообщено о проблеме, и в настоящий момент угроза ликвидирована, но они направили сообщения своим клиента, о необходимости сменить ключи и пароли.
Компания LastPass. Сообщила, что пароли их пользователей не были в опасности, так как внутрии сервиса, данные еще раз подвергаются шифрованию, и эти пароли не хранятся на сервере.

Хакеры и Fox-IT, провели демонстрацию, во время которой они смогли за 5 минуь получить порядка 200 паролей с сервиса Yahoo.

Комментарий Анны Артамоновой, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал:

«В OpenSSL, самом популярном протоколе шифрования данных, который используют более 65 процентов всех интернет-ресурсов, была обнаружена критическая уязвимость, получившая название Heartbleed. Драматизм названия неслучаен: многие считают, что Heartbleed привела к крупнейшему в истории человечества хищению данных, в результате которого мог пострадать фактически каждый интернет-пользователь, поскольку именно SSL защищены, например, почта, сетевые платежи, передача данных на форумах и в соцсетях. Так, например, были скомпрометированы конфиденциальные данные клиентов целого ряда банков, например, «Альфа-Банка» или «Райффайзен».

Пользователи ключевых сервисов Mail.Ru Group не пострадали. В наших пользовательских продуктах (Почта и др.) мы использовали версию OpenSSL, в которой этой уязвимости не было. Единственными потенциально уязвимыми сервисами Mail.Ru Group стали баннерная система и несколько контент-проектов, однако уже к 14:00 8 апреля угроза была устранена. При этом важно подчеркнуть, что на этих проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей. Все, что теоретически могли сделать злоумышленники, - это получить авторизационные сессии (cookie) пользователей на этих проектах и скомпрометировать наши SSL-сертификаты. Все потенциально скомпрометированные сертификаты уже перевыпущены и заменены.

Что касается авторизационных сессий, то мы и здесь смогли обеспечить пользователям высокий уровень защиты. На критически важных проектах Mail.Ru Group работает так называемое разделение сессий. Суть в следующем: даже если злоумышленник так или иначе завладеет авторизационной сессией пользователя на одном проекте, он не сможет получить доступ к другим проектам портала. Личные данные пользователя, его пароли, почта и др. под защитой.»