Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1309 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
3 способа увеличить продажи на сайте с помощью встроенного чата
17.11.2024 00:00 / Интернет
Узнайте, как встроенный чат на сайте помогает увеличить продажи: проактивные сообщения, персонализированное об...
Умерла звезда фильма «Бриллиантовая рука» Светлана Светличная
16.11.2024 20:43 / Кино
Не стало легенды советского кино: ушла из жизни Светлана Светличная, покорившая сердца миллионов зрителей роль...
Кендалл Дженнер сменила имидж: прощай, блондинка!
15.11.2024 23:03 / Шоу-бизнес
Модель решила вернуться к своим природным темным локонам и порадовала поклонников свежими снимками....
Самые странные привычки миллиардеров
15.11.2024 00:53 / В мире
Обычным людям очень состоятельные люди могут показаться чудаками....
Типы морских контейнеров и их назначение: Обзор и рекомендации по выбору
15.11.2024 00:49 / Автомобили
Чем отличаются между собой морские контейнеры Dry Cube, High Cube, Open Top и другими. Узнайте, как выбрать ко...
Сегодня король Карл отмечает 76-летие: заявление Букингемского дворца
14.11.2024 22:26 / В мире
Королю Карлу исполнилось 76 лет, и в честь этого события дворец опубликовал его новый портрет. На снимке монар...
Принц Эндрю не съезжает: найден способ финансирования Royal Lodge
13.11.2024 21:24 / Экономика
Принц Эндрю нашёл способ остаться в Королевской Ложе (Royal Lodge), несмотря на требования короля Карла освобо...
Мадонна рассталась с молодым возлюбленным: причина разрыва
13.11.2024 20:00 / Шоу-бизнес
Неожиданная новость потрясла поклонников поп-дивы Мадонны: певица рассталась со своим молодым бойфрендом Акимо...
Зачем актер Дуэйн «Скала» Джонсон мочится в бутылку на съемочной площадке?
11.11.2024 22:49 / Кино
Дуэйн Джонсон подтвердил слух о том, что иногда использует бутылки вместо туалета, объясняя это удобством на с...