Система шифрования OpenSSL широко применяется для защиты данных в Интернете. Поэтому обнаружение в ней критической уязвимости – это настоящая катастрофа. Новая уязвимость потенциально могла использоваться киберпреступниками для несанкционированного доступа к конфиденциальным данным миллионов пользователей.
Обнаруженную в понедельник уязвимость уже окрестили в «Кровоточащее сердце», а ее использование позволяет мошенникам получать доступ к паролям и идентификаторам пользователей. С целью защиты от этой угрозы многие интернет-компании, в том числе Yahoo!, модифицировали свои сайты.
Набор программ для шифрования OpenSSL распространяется абсолютно бесплатно и имеет открытый исходный код. В его основу положены стандарты шифрования SSL и TLS (сайты, защищенные по этому стандарту, можно идентифицировать по висящему в строке адреса браузера замку).
Эти программы развиваются четырьмя программистами, и лишь один из них работает в проекте на полной занятости. Проект поддерживает независимый фонд OpenSSL Software Foundation. Президент фонда Стив Маркесс сообщил о бюджете проекта в 2013 году в размере менее 1 млн долл. По мнению Маркесса, проект испытывает острую нужду в более квалифицированных кадрах. Не помешало бы также объявить официальный аудит программного кода OpenSSL.
59-летний Стив Маркесс в прошлом работал консультантом при министерстве обороны США. Это единственный участник проекта, являющийся гражданином США. Остальные живут в Европе, что позволяет проекту избегать ограничения на экспорт технологии шифрования.
Только в единичных онлайновых ресурсах защита данных основана на авторских средствах шифрования, так как на их разработку требуются большие капиталовложения. Такое положение вещей предопределило массовое распространение готового пакета OpenSSL. Для многих игроков индустрии OpenSSL – это фактически синоним шифрования в Интернете.
Как считает Маркесс, технологии OpenSSL сейчас даже используются министерством обороны и министерством национальной безопасности Соединенных Штатов. Этот же протокол шифрования положен в основу веб-сервисов Amazon. В продуктах Amazon все проблемы с уязвимостью устранили к концу вторника.
Уязвимость «Кровоточащее сердце» обнаружена лишь в некоторых версиях пакета OpenSSL – она начала распространяться в Интернете в последние два года после выхода OpenSSL 1.0.1. На волне всеобщей обеспокоенностью новой уязвимостью, один из исследователей компании Qualys по имени Иван Ристич уже создал специальную программу для владельцев сайтов, с помощью которой можно проверить, угрожает ли выявленная уязвимость их сайтам. Но если для кого-то действительно очень важна информационная защищенность, ему необходимо воздержаться от использования Интернета в течение нескольких дней, пока программисты не найдут на 100% эффективный способ решения проблемы.