Главная » Блоги Экспертов И ИТ-Компаний » Heartbleed. Почему подавляющее большинство компаний все еще уязвимы?

Heartbleed. Почему подавляющее большинство компаний все еще уязвимы?

Когда Вы посещаете какую-нибудь веб-страницу, Ваш компьютер фактически обращается к серверу, где расположены файлы, отображаемые на Вашем экране. Если Вы ввели пароль на этом сайте, он также идет на сервер, где и хранится. Компании используют безопасные протоколы, например, популярный OpenSSL, который шифрует коммуникации компьютеров, подключенных к сети.

Поэтому когда в апреле 2014 года была опубликована серьезная уязвимость в программном пакете OpenSSL, многие компании во всем мире «затаили дыхание». Оказывается, с 2012 года версия протокола SSL с открытым кодом не выполняет все свои защитные функции.

А нашел эту уязвимость инженер компании Google Нил Мехта, который сумел это сделать после тщательного разбора его открытого кода. Мехта вместе с членами команды Codenomicon дали этой уязвимости CVE-2014-0160 очень простое имя: Heartbleed. С логотипом в виде кровоточащего сердца, чтобы наглядно показать степень опасности угрозы.

Уязвимость позволяла кибер-преступникам получать доступ к информации пользователей (пароли, банковские счета, а также другая критически важная информация), хранящейся на Интернет-серверах, использующих OpenSSL.

Новость ошарашила тысячи компаний, которые использовали данную систему для шифрования коммуникаций на своих веб-страницах или между внутренними серверами. Даже «роутеры» использовали систему SSL. Одной из пострадавших компаний стала Community Health System (CHS) в США: пока власти не исправили ошибку, была похищена информация о свыше 4,5 млн  пациентов.

К счастью, как и в случае с любой другой дырой безопасности, была найдена возможность исправить эту ошибку. Команда OpenSSL разработала обновление программы, которое исправило эту ошибку. Пользователям необходимо было выполнить несколько действий, чтобы вновь обезопасить свои коммуникации.

Однако недавнее исследование, выполненное группой экспертов по безопасности, показало, что 74% крупнейших в мире компаний все еще подвержены риску. Причина в том, что эти компании все еще не избавились от вредоносной программы. Помимо установки новой версии (1.0.1g или выше) они должны быть отменить и изменить ключи шифрования, а также сертификаты библиотек. Этот процесс требует определенных компьютерных знаний, а в большинстве случаев необходимо связываться с поставщиками цифровых сертификатов. Как правило, что-то из этого осталось недоделанным.

Хотя некоторые эксперты сомневаются в результатах проверки, но факт заключается в том, что Heartbleed – это не обычный «баг». Когда уязвимости влияют только на одну программу, они могут быть устранены достаточно быстро, но в данном случае на протяжении почти двух лет дыра безопасности в OpenSSL поразила 66% активных страниц в Интернете, по данным Netcraft. Даже Yahoo! или Flickr были поражены этой уязвимостью и были вынуждены исправлять проблему.

Криптографическая библиотека – это то ПО, которое компании чаще всего должны использовать, от интернет-магазина до идентификации пользователя в корпоративной платформе. OpenSSL часто использовался для защиты почтовых серверов, чатов и виртуальных частных сетей (VPN).

Пользователи Интернета ничего самостоятельно не могли с этим поделать: им оставалось только верить, что посещаемые ими веб-сайты закрыли эту дыру безопасности. Компании должны были решить эту проблему. А мы всего лишь надеемся на то, что результаты данного исследования заставят отставших взяться за устранение уязвимости.

 

Автор статьи: Марта Лопес Оригинал статьи: Heartbleed. Why do the vast majority of companies remain vulnerable? 

 

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com




Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

С момента своего создания в 1990 году, компания Panda Security стала одним из ведущих европейским транснациональным производителем передовых решений и сервисов информационной безопасности с опциями расширенной защиты, а также инструментов управления и контроля над компьютерами и ИТ-системами. Компания последовательно придерживается духа инноваций и отмечена рядом наиболее важных достижений в своей сфере.

Компания Panda Security – это лидирующий европейский EDR-производитель со 100% европейским составом акционеров, штаб-квартирой, технологиями и облачной платформой. Ее современная и эффективная модель информационной безопасности стала визитной карточкой, которая позволила компании получить многочисленные официальные сертификаты, такие как сертификация по общим критериям Common Criteria или сертификаты Национального криптологического центра (National Cryptology Center).

Компания имеет представительства в более чем 80 странах мира, а ее продуктами, переведенными на 23 языка, пользуются миллионы клиентов во всем мире.

https://www.cloudav.ru

 

 




Забыли пароль?
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>