Какво е OpenSSL?
OpenSSL е реализация с отворен код на SSL и TLS протоколите за криптиран пренос на данни в световната мрежа. Ядрото на библиотеките е на писано на езика за програмиране C.
Според статистиката към момента 2/3 от Интернет криптирания трафик се осъществява благодарение на OpenSSL, като поне 50% от сървърите използват версия 1.0.1.
Проблеми със сигурността?!?
В последните версии на OpenSSL бе открит пробив в сигурността (CVE-2014-0160), чрез който злонамерен отдалечен потребител може да прочете информация от оперативната памет на сървъра. Така той може да получи достъп до частните ключове използвани при криптирането на връзката и в последствие да декриптира информацията или да се представи като една от двете комуникиращи страни като така получи важна информация (man-in-the-middle attack).
Грешният програмен код е на повече от две години като е открит наскоро от специалисти по сигурността в Google.
Официално потвърждение от представителите на OpenSSL бе публикувано на техния сайт: https://www.openssl.org/news/secadv_20140407.txt
Heartbleed – първият брандиран експлойт
Наименованието Heartbleed идва като дериват от Heartbeat – система позволяваща два сървъра да работят паралелно с failover.
Именно в тази нова функционалност на OpenSSL с цел прехвърляне на сесиите между двата паралелни сървъра е открит пробива.
Любопитен факт е, че Heartbleed е може един от първите брандирани експлойти в историята на Интернет.
Той получи свое лого и собствен сайт – http://heartbleed.com/, а социалните мрежи гъмжат от хеш тагове #heartbleed – https://twitter.com/search?q=%23Heartbleed&src=hash
Трябва ли да се притеснявам?
Засегнати са всички модерни Unix базирани операционни системи с актуални версии от 2012 до сега, в това число всички основни Linux дистрибуции – Debian, RedHat, Ubuntu, както и MacOS на Apple, който е базиран на BSD ядрото. Android устройствата също използват OpenSSL, но при тях той е компилиран без опцията за Heartbeat, което го прави неуязвим.
Как да предпазя своя сървър?
Засегнати са всички версии на OpenSSL от серии 1.0.1 и 1.0.2-beta до актуалните към 7 април 1.0.1f и 1.0.2-beta1.
Ако използвате някоя от тези версии, се препоръчва да обновите възможно най-скоро до нова версия.
Тук за радост на всички, проблемът не бе оповестен преди OpenSSL да успеят да поправят грешката и повечето водещи дистрибуции да внедрят промените в своите хранилища?
Интересен факт в случая е, че сървъри, който не са били обновявани след 2011 година не са засегнати.
Изводите са за вас, не винаги последните версии на софтуера ни носят само позитиви.
Засегнати ли са моите лични данни?
Споделяйки нещо в Интернет, никога не може да сте сигурни, че някой някъде не ви слуша, дори и връзката да е криптирана. Добронамерени хакери споделиха открита информация за проблеми с Yahoo, Facebook и Gmail, макар че няма директни данни, че информацията е била компрометирана.
Важно за вас като краен потребител е след решаване на проблема от страна на доставчиците, да смените всички пароли за своите банкови акаунти, пощи и социални мрежи.
Дали даден сървър е текущо засегнат, може да проверите на следния линк: http://filippo.io/Heartbleed/
Конспиративни теории
Събитията от последните дни накараха потребителите в Интернет да си зададат някои въпроси, за които нека всеки сам потърси своя отговор:
– Какво и с кой споделяме, сигурен ли е Интернет в днешно време?
– Случайно ли спирането на поддръжката на Windows XP съвпадна с открития пробив в OpenSSL?
– Защо основните медии изпусната тази новина, докато никой не пропусна да отбележи пенсионирането на динозавъра XP?
– Как софтуер, на който разчита 2/3 от Интернет не е получил нито цент от големите фирми, които разчитат и се доверяват на него за сериозно количество информация и капитали?