• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Опубликована статья сотрудника ITTS об уязвимости Heartbleed

Created: 28 May 2014

Cотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS по актуальной проблеме – уязвимости Heartbleed.

 

Появившись в начале апреля 2014 года, проблема, получившая имя Heartbleed, сегодня вышла далеко за пределы сообщества экспертов по информационной безопасности и даже заставила обратить на себя внимание людей, обычно далёких от ИТ-сферы. Попробуем в двух словах описать ее суть.
Для обеспечения защиты данных от перехвата и подмены при их передаче по сетям связи очень широко применяется программное обеспечение (ПО) OpenSSL, часто являющееся надстройкой над информационными сервисами (сайт, электронная почта, VPN). В этом ПО была обнаружена уязвимость, позволяющая, при определенных условиях, получить доступ к самым критичным данным - паролям пользователей, закрытым ключам ЭЦП и прочим данным, которые находятся в памяти уязвимого компьютера. Масштабы проблемы оценить сложно, но ориентировочно количество сайтов, подверженных уязвимости на момент ее обнаружения, оценивалось в полмиллиона. В их число попали многие торговые площадки и сервисы, имеющие базу пользователей (социальные сети, почтовые службы, ЭДО). Известный специалист по компьютерной безопасности и криптограф Брюс Шнайер оценил проблему как «катастрофическую» и по 10-ти бальной шкале присвоил ей 11 баллов.
Об особенном характере данной проблемы свидетельствует и тот факт, что у отдельно взятой уязвимости, пожалуй, впервые в истории информационной безопасности, появился свой собственный логотип и сайт – heartbleed.com.
Практически все крупные проекты, имеющие продвинутую службу сопровождения, ликвидировали уязвимость в течение нескольких часов. Но все ещё остается значительное количество компьютеров с данной уязвимостью, например, там, где нет службы поддержки, способной обновить уязвимое ПО, а также в случае если установка обновлений затруднена из-за проблем с совместимостью. Отдельная проблема – так называемый "интернет вещей", т.е. огромное количество бытовых устройств с подключением к интернету (сетевые хранилища, охранные системы, системы видеонаблюдения, модемы), многие из которых имеют уязвимую версию OpenSSL. Даже если для них выпущены обновления, то устанавливать их нужно, как правило, вручную, а часть устройств и вовсе не имеют технической поддержки от производителя. Такие устройства останутся уязвимыми до конца их эксплуатации.
Ещё один вопрос, появившийся одновременно с обнаружением уязвимости   концепция открытого ПО, которым является OpenSSL. Основным преимуществом открытого ПО считается именно возможность аудита программного кода всеми желающими и раннее обнаружение уязвимостей. Но в случае с Heartbleed этот подход не сработал - данная уязвимость существовала в нескольких версиях OpenSSL более двух лет, но обнаружили ее только сейчас. С другой стороны, неизвестно, когда была бы обнаружена ошибка, если бы код ПО не был бы общедоступным.
Что же делать сейчас? Эксперты, например CERT, рекомендуют:
- обновить уязвимые версии OpenSSL до самой последней, в которой проблема Heartbleed устранена.
- обновить серверные сертификаты. Некоторые центры, выпускающие сертификаты, например Verisign, позволяют перевыпустить сертификат без взимания дополнительной платы.
-  изменить пароли доступа к информационным сервисам, которые были подвержены уязвимости, т.к. прежние пароли могли быть скомпрометированы. На будущее, для предупреждения рисков от уязвимостей такого рода:
- использовать сложные пароли, а для их хранения использовать специальные вспомогательные средства. Если полагаться на память, то велик соблазн использовать простые пароли.
- не использовать одинаковые пароли для доступа к разным ресурсам. Скомпрометированный пароль может быть использован злоумышленниками для получения доступа и к другим ресурсам.
- применять многофакторную аутентификацию всегда, когда это возможно – например, использовать не только пароль, но и коды подтверждения, получаемые через SMS и т.д.

Для проверки серверов на наличие уязвимости Heartbleed можно порекомендовать онлайн-сервисы от компаний Qualys и Symantec.

•    https://www.ssllabs.com/ssltest/
•    https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

Пока неясно, будет ли считаться Heartbleed значительным событием в сфере информационной безопасности спустя много лет, или же масштаб его будет переоценен как это было с «Проблемой 2000 года». Посмотрим.

При создании статьи были использованы следующие источники информации:

  • Half a million widely trusted websites vulnerable to Heartbleed bug
  • Schneier on Security – Heartbleed
  • Heartbleed, The First Security Bug With A Cool Logo
  • Security Advisory - OpenSSL Heartbleed Bug
  • OpenSSL TLS heartbeat extension read overflow discloses sensitive information
  • Dr. Strangebug, or How I Learned to Stop Worrying and Accept Heartbleed
Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости