Днями стало відомо про існування дірки в безпеці протоколу шифрування даних OpenSSL. Проблема існує вже 2 роки. Протягом всього цього періоду хакери, які могли знати про діру, безконтрольно могли читати вашу переписку, знати інформацію про ваші банківські дані, вашу пошту і т.д.
А тепер про все і доступнішою мовою.
Дірку в безпеці назвали Heartbleed. Експерти з безпеки інформації вважають, що це найбільша загроза безпеки приватної інформації за весь час існування інтернету – пише Businessinsider.
Причому це не просто баг в якомусь додатку, який легко можна апдейтнути. Дірка в безпеці серверів, які забезпечують безпечну передачу даних в таких сервісах як Facebook, Gmail та тисячах інших.
Отже, що таке «Heartbleed баг»?
Heartbleed – дірка в безпеці OpenSSL – опенсорсний стандарт шифрування даних, який використовують більшість сайтів для шифрування даних, які проходять між сервером та користувачем. Це дає можливість шифрувати ваші дані при обміні повідомленнями в чаті чи електронній пошті.
Шифрування відбувається в такий спосіб, що якщо хтось перехопить вашу інформацію – це буде лише набір символів, який не має жодного сенсу.
Коли комп‘ютери встановлюють між собою безпечне з‘єднання через OpenSSL – вони відправляють один одному так званий heartbeat (серцебиття) – невеликий пакет даних, який просить дати відповідь на запит.
Через помилку в програмному коді OpenSSL зловмисники отримали можливість надіслати неавторизований heartbeat в такий спосіб, що сервер буде сприймати його як авторизований комп‘ютер і може отримати доступ до даних, що зберігаються, зокрема, в пам‘яті серверів.
Наскільки висока загроза для користувача?
Це найвищий рівень загрози з існуючих до сьогоднішнього дня. Веб сервери можуть тримати своїй активній пам‘яті багато інформації, включаючи паролі, контент, який завантажив користувач. Навіть номери кредитних карток.
Але найнебезпечніше те, що в хакерів з‘явилась можливість доступу до ключів шифрування – кодів, які дають можливість перетворити беззмістовну інформацію, яка передається між користувачем та сервером, у нормальну.
Маючи такі ключі хакер може перехоплювати зашифровані дані (навіть не маючи доступу до сервера) та розшифровувати її. Наприклад, можна підключитись до вашого інтернет-кабеля, і знімати з нього всю вашу переписку поштою.
Тобто це означає, що поки на сервері не будуть змінені ключі безпеки – хакери зможуть продовжувати читати вашу інформацію.
Чи стосується це вас особисто?
Скоріш за все, так. Це може стосуватись вас як прямо, так і опосередковано. OpenSSL – найпопулярніший стандарт шифрування в інтернеті. Ваші улюблені сайти, сайт вашої компанії, сайт, де ви оплачуєте комунальні послуги чи купуєте книги – багато з них використовують OpenSSL.
За інформацією компанії Netcraft, з майже 1 мільярда існуючих на сьогоднішній день сайтів, 66% використовують технології на базі SSL.
Що ви можете зробити, щоб захистити себе?
Оскільки проблема існує вже понад 2 роки, і процес доступу до ваших даних не залишав жодних слідів втручання – це означає, що так чи інакше хтось міг отримати доступ до ваших даних. Важливо змінити ваші паролі. Особливо для сервісів, де є важлива та чутлива інформація. Однак, якщо сайт, де зберігається ця інформація, не оновив OpenSSL, зміна вашого паролю нічого не дасть – загроза доступу до даних буде зберігатись.
Поштові сервіси Gmail та Yahoo.Mail вже «залатали» діру, і просять користувачів змінити свої паролі. Аналогічна ситуація з соціальною мережею Facebook та сервісом зберігання даних Dropbox.