Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1347 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
Идеальное место для отдыха и работы – «Конгресс-отель Екатеринбург»
16.01.2026 01:12 / Происшествия
«Конгресс-отель Екатеринбург» – четырехзвездочный отельный комплекс с конгресс-центром и собственным ресторано...
Чем фуникулоцеле отличается от гидроцеле и паховой грыжи
16.01.2026 01:09 / Общество
Фуникулоцеле, гидроцеле и паховая грыжа — три разных состояния в области мошонки и паха, которые часто дают по...
Казино без вложений и регистрации: в чем особенность игры?
06.01.2026 11:55 / Спорт
Высокая конкуренция в сфере iGaming заставляет азартные платформы регулярно пересматривать условия сотрудничес...
Правильный выбор электроники: как не потеряться в мире гаджетов и делать выгодные покупки
02.01.2026 23:26 / Интернет
В мире технологий каждый день появляются новинки: смартфоны становятся мощнее, ноутбуки — тоньше, а умные часы...
MAX в повседневном общении: что это за приложение
27.12.2025 22:08 / Интернет
Что такое MAX и чем он удобен в повседневном общении. Какие форматы сообщений и звонков поддерживаются, на как...
Как проходит регистрация на рейсы АК «Россия»: онлайн и в аэропорту
27.12.2025 22:05 / В мире
Современные авиакомпании стремятся сделать перелеты все более комфортными для пассажиров на всех этапах....
Кредитные карты для студентов и молодых клиентов: особенности и ограничения
23.12.2025 18:57 / Финансы
Разбираем специальные кредитные карты для студентов и молодых клиентов. Объясняем требования банков, ограничен...
Займ на карту через Госуслуги: быстрый маршрут без пересъёмок
18.12.2025 19:17 / Общество
Пошагово объясняем, как работает оформление займа с идентификацией через ЕСИА: что именно проверяется, сколько...
Антикварные книги: что делает книгу антикварной и как определить её возраст
18.12.2025 19:09 / В мире
Антикварная книга — это не просто старая книга. ...
Скачать казино на Андроид: как установить мобильный клиент?
17.12.2025 12:51 / Спорт
Для игры с телефона гемблеры могут скачать казино на реальные деньги для андроид. Софт не требователен к “желе...