Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1364 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
ТОП проверенных способов скачать игры на Android без риска
14.05.2026 01:23 / Интернет
Скачать игры безопасно и без лишних рисков: разберём рабочие способы для Android, проверку подписи и APK, авто...
Программа переселения соотечественников: главный мост на Родину
03.05.2026 22:14 / Общество
Действующая с 2006 года программа уже помогла более миллиону людей с российскими корнями вернуться домой....
В поисках идеального образа: какие рекламные инструменты диктуют тренды в 2026 году
03.05.2026 22:05 / Общество
Современный рынок маркетинга переживает интересную трансформацию, где цифровая среда и физическое пространство...
Обзорные экскурсии по Казани: что посмотреть и как выбрать тур
03.05.2026 21:59 / В мире
Гид по обзорным экскурсиям в Казани: Кремль, слобода, улица Баумана, тематические туры и советы по выбору прог...
YouTube для поисковой оптимизации: как видеоконтент усиливает поисковое продвижение
03.05.2026 21:47 / Интернет
Как видеоконтент улучшает поведенческие факторы, какие форматы лучше работают в поиске и как правильно встроит...
Gorebox: как выживать в мире полного безумия
03.05.2026 21:40 / Общество
Gorebox — практичные советы, как выжить среди хаоса: старт, тактики, ловушки, настройка графики и управления. ...
Почему ваша спина болит к вечеру? Разбор современного кресла для руководителя
03.05.2026 21:21 / Общество
Многие из нас замечали: утром вы полны сил, а после 6–7 часов за компьютером появляется ноющая боль в шее и по...
Сгорающие бонусы: грабеж или честная игра? Разбираем пользу для клиента и бизнеса
03.05.2026 21:11 / Общество
Каждый, кто хотя бы раз расплачивался картой в супермаркете или заказывал кофе в сетевой кофейне, сталкивался ...
Премиальные дебетовые карты: выгоды, риски и когда они нужны
03.05.2026 20:23 / Экономика
Когда премиальные дебетовые карты действительно выгодны: доступ в бизнесзалы, страховка, кэшбэк, лимиты, стоим...
Как купить транспорт мечты: от мечты до реального плана действий
22.04.2026 00:52 / Автомобили
Пошаговая стратегия для тех, кто хочет сесть за руль своего идеального автомобиля или мотоцикла, сохранив фина...