Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1328 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
Как выбрать радиатор КЗТО
19.09.2025 18:31 / Наука
Как выбрать радиатор КЗТО для квартиры и дома: учтите систему отопления, расчёт мощности, температурный график...
Finuslugi: отзывы заемщиков о сервисе
19.09.2025 18:27 / Интернет
Отзывы заемщиков о Finuslugi: анализ положительных и негативных мнений, опыт разных категорий пользователей и ...
Плюсы и минусы жизни в Финляндии, как статус влияет на комфорт
19.09.2025 18:24 / Общество
Жизнь в Финляндии для граждан ЕС и не-ЕС: как статус влияет на комфорт и перспективы. Плюсы, минусы, ВНЖ, ПМЖ,...
Кто покупает квартиры в новостройках - анализ целевой аудитории и тенденции рынка недвижимости
19.09.2025 18:10 / В мире
Анализ покупателей квартир в новостройках: портрет целевой аудитории, мотивы приобретения, предпочтения по лок...
eSIM для путешествий по Таиланду: современный способ оставаться на связи
11.09.2025 00:12 / Интернет
Современные путешественники все чаще отказываются от традиционных SIM-карт в пользу более технологичных решени...
Что такое металлоконструкции: полное руководство для новичков и специалистов
04.09.2025 23:40 / Автомобили
В этой статье мы подробно разберем, что собой представляют металлические конструкции, где и как они применяютс...
Как называется план квартиры с размерами стен в новостройке
27.08.2025 00:18 / Общество
Узнайте, как правильно называется план квартиры с размерами стен в новостройке и какие детали важно учитывать ...
Аудио поздравления на телефон: современный способ подарить эмоции
23.08.2025 02:14 / Криминал
В наш стремительный цифровой век традиционные открытки и СМС постепенно уступают место более ярким и personal ...
Как выбрать качественную краску для ремонта и строительства в Краснодаре
19.08.2025 01:37 / Общество
Ремонт — это всегда ответственный процесс, требующий тщательного подбора материалов. ...
ТОП лучших онлайн казино: как выбрать надёжную площадку?
13.08.2025 15:16 / Спорт
Игорная индустрия имеет внушительный годовой оборот, превышающий 1 триллион евро. Благодаря многочисленным вло...