Heartbleed. Почему подавляющее большинство компаний все еще уязвимы?

Когда Вы посещаете какую-нибудь веб-страницу, Ваш компьютер фактически обращается к серверу, где расположены файлы, отображаемые на Вашем экране. Если Вы ввели пароль на этом сайте, он также идет на сервер, где и хранится. Компании используют безопасные протоколы, например, популярный OpenSSL, который шифрует коммуникации компьютеров, подключенных к сети.

Поэтому когда в апреле 2014 года была опубликована серьезная уязвимость в программном пакете OpenSSL, многие компании во всем мире «затаили дыхание». Оказывается, с 2012 года версия протокола SSL с открытым кодом не выполняет все свои защитные функции.

А нашел эту уязвимость инженер компании Google Нил Мехта, который сумел это сделать после тщательного разбора его открытого кода. Мехта вместе с членами команды Codenomicon дали этой уязвимости CVE-2014-0160 очень простое имя: Heartbleed. С логотипом в виде кровоточащего сердца, чтобы наглядно показать степень опасности угрозы.

Уязвимость позволяла кибер-преступникам получать доступ к информации пользователей (пароли, банковские счета, а также другая критически важная информация), хранящейся на Интернет-серверах, использующих OpenSSL.

Новость ошарашила тысячи компаний, которые использовали данную систему для шифрования коммуникаций на своих веб-страницах или между внутренними серверами. Даже «роутеры» использовали систему SSL. Одной из пострадавших компаний стала Community Health System (CHS) в США: пока власти не исправили ошибку, была похищена информация о свыше 4,5 млн  пациентов.

К счастью, как и в случае с любой другой дырой безопасности, была найдена возможность исправить эту ошибку. Команда OpenSSL разработала обновление программы, которое исправило эту ошибку. Пользователям необходимо было выполнить несколько действий, чтобы вновь обезопасить свои коммуникации.

Однако недавнее исследование, выполненное группой экспертов по безопасности, показало, что 74% крупнейших в мире компаний все еще подвержены риску. Причина в том, что эти компании все еще не избавились от вредоносной программы. Помимо установки новой версии (1.0.1g или выше) они должны быть отменить и изменить ключи шифрования, а также сертификаты библиотек. Этот процесс требует определенных компьютерных знаний, а в большинстве случаев необходимо связываться с поставщиками цифровых сертификатов. Как правило, что-то из этого осталось недоделанным.

Хотя некоторые эксперты сомневаются в результатах проверки, но факт заключается в том, что Heartbleed – это не обычный «баг». Когда уязвимости влияют только на одну программу, они могут быть устранены достаточно быстро, но в данном случае на протяжении почти двух лет дыра безопасности в OpenSSL поразила 66% активных страниц в Интернете, по данным Netcraft. Даже Yahoo! или Flickr были поражены этой уязвимостью и были вынуждены исправлять проблему.

Криптографическая библиотека – это то ПО, которое компании чаще всего должны использовать, от интернет-магазина до идентификации пользователя в корпоративной платформе. OpenSSL часто использовался для защиты почтовых серверов, чатов и виртуальных частных сетей (VPN).

Пользователи Интернета ничего самостоятельно не могли с этим поделать: им оставалось только верить, что посещаемые ими веб-сайты закрыли эту дыру безопасности. Компании должны были решить эту проблему. А мы всего лишь надеемся на то, что результаты данного исследования заставят отставших взяться за устранение уязвимости.

Автор статьи: Марта Лопес Оригинал статьи: Heartbleed. Why do the vast majority of companies remain vulnerable? 

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com