Heartbleed уязвимость: наши рекомендации пользователям

    О Heartbleed уязвимости, которая присутствует в компоненте «heartbeat» некоторых версий OpenSSL, написано уже достаточно подробно. Основная ее особенность заключается в том, что атакующий может прочитать определенный диапазон адресов памяти (длиной 64KB) в процессе на сервере, который использует эту библиотеку. Используя эту уязвимость злоумышленники путем отправки специальным образом сформированного запроса могут:

    • Украсть пароли/логины от ваших сервисов.
    • Получить доступ к конфиденциальным cookie.
    • Украсть приватный SSL/TLS ключ сервера, с которым вы работаете по HTTPS (скомпрометировать HTTPS).
    • Украсть любую секретную информацию, которую защищает HTTPS (прочитать письма, сообщения на сервере и т. д.).

    Злоумышленники могут скомпрометировать HTTPS и позднее (через известную атаку типа MitM), имея у себя на руках закрытый SSL/TLS-ключ (представиться сервером).

    В качестве примера успешной эксплуатации можно привести Yahoo, которая была подвержена этой уязвимости. С использованием Heartbleed можно было быстро получить доступ к логинам и паролям пользователей в открытом виде. [уязвимость исправлена и сертификат для HTTPS был перевыпущен].



    Мы советуем пользователям:

    • Обратиться в тех. поддержку интернет-сервисов компаний, где у вас есть аккаунты (в т. ч. почта, онлайн-банкинг) для прояснения ситуации по вопросу потенциальной уязвимости этих сервисов.
    • Если вы получили подтверждение присутствия уязвимости или подозреваете, что сервис был скомпрометирован, смените там свой пароль.
    • Отслеживайте ваши операции онлайн-банкинга на предмет какой-либо подозрительной активности.

    Если вы используете браузер Google Chrome, активируйте настройку «Проверять, не отозван ли сертификат сервера» для обновления информации о сертификате веб-сайта в браузере. По умолчанию эта настройка отключена.



    Администраторам:

    • Если вы используете версию OpenSSL 1.0.1 — 1.0.1f, обновитесь до последней версии 1.0.1g, которая содержит исправление для компонента heartbeat.
    • После того, как вы перешли на исправленную версию OpenSSL, сгенерируйте новые приватные ключи и SSL/TLS сертификат.
    • Отзовите старый сертификат.
    • Уведомите пользователей сервисов о необходимости сменить пароли, так как они могли быть скомпрометированы.
    • +11
    • 15,8k
    • 4
    ESET NOD32 150,33
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 4
    • 0
      > О Heartbleed уязвимости, которая присутствует в компоненте «heartbeat» некоторых версий OpenSSL, написано уже достаточно подробно.
      В том числе и на Хабре. Зачем еще одна статья?
      • +3
        Не знаю, как вам, а мне она помогла: тут не сильно вдаваясь в технические подробности объяснено что утекло, и как можно себя немного обезопасить
        • +2
          Картинкой где ставить галочку :) Если точнее — мне ничем дополнительно не помогла, ибо уже разобрался, у себя всё поправил, и т.д. но вот картинка «где надо поставить галочку» будет многим полезна, ибо это самый наглядный пример как защитить Chrome.
          • 0
            Вы не в тренде!)

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое