Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1324 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
ТОП лучших онлайн казино: как выбрать надёжную площадку?
13.08.2025 15:16 / Спорт
Игорная индустрия имеет внушительный годовой оборот, превышающий 1 триллион евро. Благодаря многочисленным вло...
Путешествие из Беларуси в Польшу: полное руководство по покупке билетов и подготовке к поездке
06.08.2025 00:40 / Автомобили
Введение: почему автобус - лучший выбор для поездки в Польшу?...
Рычажные тали и электрические лебедки: подъемное оборудование для разных условий
04.08.2025 00:38 / Автомобили
В промышленной, строительной, складской и даже бытовой сфере перемещение и подъем грузов — задача, требующая н...
Частное образование в Москве: как выбрать лучший детский сад и школу для ребенка
01.08.2025 02:44 / Общество
Введение: почему частное образование становится популярным?...
Дизайн аптеки: роль правильной мебели в организации пространства
31.07.2025 00:55 / В мире
Как мебель для аптек влияет на удобство покупателей и сотрудников. Правила планировки и советы по выбору аптеч...
Как выбрать MikroTik
27.07.2025 03:27 / Интернет
Пошаговое руководство по выбору маршрутизатора MikroTik для дома, офиса и магистральных каналов: производитель...
Эффективные B2B-продажи: как построить прибыльный бизнес
13.07.2025 00:54 / Экономика
В современном мире бизнеса ключевым элементом успеха являются B2B-продажи — стратегии, направленные ...
P. Diddy признан виновным: американский рэпер может сесть на 20 лет
03.07.2025 10:53 / Шоу-бизнес
Шон Комбс, известный под псевдонимами P. Diddy, Puff Daddy и Дидди, остаётся в тюрьме. Сейчас он ожидает приго...
Никола Пельтц-Бекхэм трогательно поздравила отца с 83-летием: фото с вечеринки и реакция Бруклина
01.07.2025 11:51 / Шоу-бизнес
Никола Пельтц-Бекхэм и ее муж Бруклин Бекхэм отметили день рождения ее отца - известного бизнесмена Нельсона П...
Иммиграция в Испанию: Полное Руководство для Переезда в 2025 Году
29.06.2025 04:31 / В мире
Испания — одна из самых привлекательных стран для иммиграции благодаря теплому климату, высокому уровню жизни ...