Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1356 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
Финансовая тишина: как построить защиту и заставить деньги работать с помощью ПИФов
01.04.2026 23:29 / Финансы
В мире личных финансов существует понятие, которое психологически важнее, чем высокая доходность. ...
Как получить промокод Яндекс Маркета на первый заказ
22.03.2026 02:44 / Финансы
Как быстро получить и правильно применить промокод Яндекс Маркета на первый заказ. Разбираем источники скидок,...
Почему кеды Golden Goose такие дорогие?
16.03.2026 02:21 / Спорт
Высокая стоимость кед Golden Goose объясняется несколькими факторами, начиная от эксклюзивного и уникального д...
Суррогатное материнство в Москве: путь к родительству или юридический квест?
16.03.2026 02:18 / Происшествия
В последние десятилетия репродуктивная медицина шагнула далеко вперед, подарив надежду миллионам людей, столкн...
Образование, которое работает: выбираем курсы с умом
16.03.2026 02:04 / Наука
Профессиональная переподготовки и курсы повышения квалификации: путь к новым вершинам...
Модернизация периметра без остановки производства: как заменить старое ограждение на 3D-забор
09.03.2026 02:38 / Наука
Практическое руководство по замене старого ограждения на современное 3D-решение без остановки производственных...
Аллергия на пыль: чек-лист по выбору техники с HEPA-фильтрами и мойками воздуха для здорового дома
25.02.2026 01:57 / Общество
Пыль в квартире — не просто вопрос эстетики....
Экономьте с умом: гид по лучшим предложениям Sima-Land в феврале-марте 2026
20.02.2026 01:04 / Экономика
Мир онлайн-шопинга открывает безграничные возможности для приобретения нужных и интересных товаров, но разумны...
Как выбрать удобные и стильные кроссовки для мальчиков
18.02.2026 01:17 / Спорт
Современные родители уделяют большое внимание не только одежде, но и обуви для детей....
Футболки премиум класса женские: Как выбрать идеальную модель для комфортного и стильного образа
18.02.2026 01:14 / Общество
футболки премиум класса...