Компания
445,30
рейтинг
10 апреля 2014 в 14:22

Разное → Heartbleed уязвимость: наши рекомендации пользователям

О Heartbleed уязвимости, которая присутствует в компоненте «heartbeat» некоторых версий OpenSSL, написано уже достаточно подробно. Основная ее особенность заключается в том, что атакующий может прочитать определенный диапазон адресов памяти (длиной 64KB) в процессе на сервере, который использует эту библиотеку. Используя эту уязвимость злоумышленники путем отправки специальным образом сформированного запроса могут:

  • Украсть пароли/логины от ваших сервисов.
  • Получить доступ к конфиденциальным cookie.
  • Украсть приватный SSL/TLS ключ сервера, с которым вы работаете по HTTPS (скомпрометировать HTTPS).
  • Украсть любую секретную информацию, которую защищает HTTPS (прочитать письма, сообщения на сервере и т. д.).

Злоумышленники могут скомпрометировать HTTPS и позднее (через известную атаку типа MitM), имея у себя на руках закрытый SSL/TLS-ключ (представиться сервером).

В качестве примера успешной эксплуатации можно привести Yahoo, которая была подвержена этой уязвимости. С использованием Heartbleed можно было быстро получить доступ к логинам и паролям пользователей в открытом виде. [уязвимость исправлена и сертификат для HTTPS был перевыпущен].



Мы советуем пользователям:

  • Обратиться в тех. поддержку интернет-сервисов компаний, где у вас есть аккаунты (в т. ч. почта, онлайн-банкинг) для прояснения ситуации по вопросу потенциальной уязвимости этих сервисов.
  • Если вы получили подтверждение присутствия уязвимости или подозреваете, что сервис был скомпрометирован, смените там свой пароль.
  • Отслеживайте ваши операции онлайн-банкинга на предмет какой-либо подозрительной активности.

Если вы используете браузер Google Chrome, активируйте настройку «Проверять, не отозван ли сертификат сервера» для обновления информации о сертификате веб-сайта в браузере. По умолчанию эта настройка отключена.



Администраторам:

  • Если вы используете версию OpenSSL 1.0.1 — 1.0.1f, обновитесь до последней версии 1.0.1g, которая содержит исправление для компонента heartbeat.
  • После того, как вы перешли на исправленную версию OpenSSL, сгенерируйте новые приватные ключи и SSL/TLS сертификат.
  • Отзовите старый сертификат.
  • Уведомите пользователей сервисов о необходимости сменить пароли, так как они могли быть скомпрометированы.
Автор: @esetnod32
ESET NOD32
рейтинг 445,30

Комментарии (4)

  • 0
    > О Heartbleed уязвимости, которая присутствует в компоненте «heartbeat» некоторых версий OpenSSL, написано уже достаточно подробно.
    В том числе и на Хабре. Зачем еще одна статья?
    • +3
      Не знаю, как вам, а мне она помогла: тут не сильно вдаваясь в технические подробности объяснено что утекло, и как можно себя немного обезопасить
    • +2
      Картинкой где ставить галочку :) Если точнее — мне ничем дополнительно не помогла, ибо уже разобрался, у себя всё поправил, и т.д. но вот картинка «где надо поставить галочку» будет многим полезна, ибо это самый наглядный пример как защитить Chrome.
    • 0
      Вы не в тренде!)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное