В протоколе шифрования OpenSSL обнаружена критическая уязвимость
10 Апрель 2014
Система шифрования OpenSSL широко применяется для защиты данных в Интернете. Поэтому обнаружение в ней критической уязвимости – это настоящая катастрофа. Новая уязвимость потенциально могла использоваться киберпреступниками для несанкционированного доступа к конфиденциальным данным миллионов пользователей.
Обнаруженную в понедельник уязвимость уже окрестили в «Кровоточащее сердце», а ее использование позволяет мошенникам получать доступ к паролям и идентификаторам пользователей. С целью защиты от этой угрозы многие интернет-компании, в том числе Yahoo!, модифицировали свои сайты.
Набор программ для шифрования OpenSSL распространяется абсолютно бесплатно и имеет открытый исходный код. В его основу положены стандарты шифрования SSL и TLS (сайты, защищенные по этому стандарту, можно идентифицировать по висящему в строке адреса браузера замку).
Эти программы развиваются четырьмя программистами, и лишь один из них работает в проекте на полной занятости. Проект поддерживает независимый фонд OpenSSL Software Foundation. Президент фонда Стив Маркесс сообщил о бюджете проекта в 2013 году в размере менее 1 млн долл. По мнению Маркесса, проект испытывает острую нужду в более квалифицированных кадрах. Не помешало бы также объявить официальный аудит программного кода OpenSSL.
59-летний Стив Маркесс в прошлом работал консультантом при министерстве обороны США. Это единственный участник проекта, являющийся гражданином США. Остальные живут в Европе, что позволяет проекту избегать ограничения на экспорт технологии шифрования.
Только в единичных онлайновых ресурсах защита данных основана на авторских средствах шифрования, так как на их разработку требуются большие капиталовложения. Такое положение вещей предопределило массовое распространение готового пакета OpenSSL. Для многих игроков индустрии OpenSSL – это фактически синоним шифрования в Интернете.
Как считает Маркесс, технологии OpenSSL сейчас даже используются министерством обороны и министерством национальной безопасности Соединенных Штатов. Этот же протокол шифрования положен в основу веб-сервисов Amazon. В продуктах Amazon все проблемы с уязвимостью устранили к концу вторника.
Уязвимость «Кровоточащее сердце» обнаружена лишь в некоторых версиях пакета OpenSSL – она начала распространяться в Интернете в последние два года после выхода OpenSSL 1.0.1. На волне всеобщей обеспокоенностью новой уязвимостью, один из исследователей компании Qualys по имени Иван Ристич уже создал специальную программу для владельцев сайтов, с помощью которой можно проверить, угрожает ли выявленная уязвимость их сайтам. Но если для кого-то действительно очень важна информационная защищенность, ему необходимо воздержаться от использования Интернета в течение нескольких дней, пока программисты не найдут на 100% эффективный способ решения проблемы.
Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
БобрДобр.ру
МоёМесто.ру
Memori.ru
LinkStore.ruМатериалы по теме В протоколе шифрования OpenSSL обнаружена критическая уязвимость
Антивирусник Avast добавлял рекламу в браузеры и следил за пользователями / Безопасность - Браузеры
Пользователи Google Chrome смогут защитить свои данные в Интернете с помощью специального USB-ключа / Безопасность - Google Chrome
Вышла четвертая версия браузера Tor / Безопасность - Mozilla Firefox
В iOS 8 обнаружили первую критическую уязвимость / Безопасность - Safari
Потери родителей от сетевой активности их детей / Безопасность - Браузеры
Пользователи Google Chrome смогут защитить свои данные в Интернете с помощью специального USB-ключа / Безопасность - Google Chrome
Вышла четвертая версия браузера Tor / Безопасность - Mozilla Firefox
В iOS 8 обнаружили первую критическую уязвимость / Безопасность - Safari
Потери родителей от сетевой активности их детей / Безопасность - Браузеры
- Войдите на сайт для отправки комментариев
Комментариев нет.