Два года АНБ пользовалось критической уязвимостью в OpenSSL
19.04.2014 13:37 / В мире / Прочли: 1337 человек
Два анонимных источника сообщили агентству Bloomberg, что АНБ в течение двух лет знало о наличии в OpenSSL уязвимости Heartbleed. Данная уязвимость позволяла получать конфиденциальную информацию со множества сайтов. По информации Bloomberg, АНБ регулярно пользовалось багом, чтобы собирать разведывательную информацию.
Благодаря Heartbleed АНБ имело возможность собирать пароли и прочие приватные данные, принадлежащие миллионам простых юзеров со всего мира. Официальных комментариев от агентства изданию получить не удалось.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Так как АНБ намеренно скрывало информацию об уязвимости, мотивируя такое решение национальными интересами, в американском обществе, возможно, опять вспыхнут споры о том, какова роль правительственных компьютерных экспертов.
Баг Heartbleed обнаружили 7 апреля. Знающий о нем злоумышленник мог составить запрос к серверу с поддержкой OpenSSL таким образом, что тот начал бы отправлять ему содержимое разрозненных участков своей оперативной памяти. В таких фрагментах могли быть пароли, фрагменты переписок, информация о шифровании, имена юзеров и пр.
Эксплуатация уязвимости не оставляла следов. Всего баг просуществовал порядка двух лет. Уязвимый код в функцию OpenSSL был добавлен немецким программистом. Он заявил, что это случилось по причине невнимательности как его самого, так и человека, который проверял предложенные правки.
Хотя Heartbleed признан потенциально опасным, насколько эффективно практическое применение бага – неизвестно. Эксперты, работающие в компании CloudFree (она занимается защитой веб-сайтов от DDoS-атак) провели независимые тесты, но использовать обнаруженный баг с целью получения ключей шифрования они не смогли.
Ими был запущен конкурс: они предложили всем желающим совершать атаки на специальный сайт. Компания Ionic Security, также специализирующаяся на защите информации предложила $10 тысяч в награду тому, что сумеет успешно использовать Heartbleed против сайта-полигона, предоставленного CloudFree. Победителем оказался москвич Федор Индутный – за три часа он провел успешную атаку.
Материалы
сайта могут содержать информацию, не подлежащую просмотру лицам младше 18
лет
Как интеграция телефонии и CRM трансформирует бизнес-процессы
10.11.2025 03:47 / Интернет
В современном бизнесе скорость и качество взаимодействия с клиентом являются ключевыми факторами успеха....
Мини-приложения MAX: весь мир сервисов под рукой
29.10.2025 20:28 / Наука
Узнайте, как МАКС объединяет чаты, покупки и сервисы в одном месте. Разбираем, почему платформа становится цен...
Как выгодно купить квартиру в Сочи лучшие районы цены и предложения на 2024 год
29.10.2025 20:24 / Интернет
Обзор рынка недвижимости в Сочи: актуальные предложения, цены и советы для тех, кто хочет приобрести квартиру ...
Выгодные предложения по покупке квартир в Новосибирске с оптимальными ценами и условиями
29.10.2025 20:21 / Общество
Широкий выбор квартир в Новосибирске с выгодными ценами и актуальными предложениями. Подберите жильё для комфо...
Выбор квартиры в Екатеринбурге подробный обзор вариантов недвижимости и советы для покупателей
29.10.2025 20:18 / В мире
Подробная информация о вариантах квартир в Екатеринбурге для покупки: районы, цены, инфраструктура и полезные ...
Как выбрать и снять квартиру в Краснодаре с выгодными условиями и удобным расположением
28.10.2025 01:51 / Общество
Подбор вариантов проживания в Краснодаре: описание районов, цены, советы по аренде и особенности оформления до...
Обработка отзывов: от реакции к стратегии управления репутацией
28.10.2025 01:08 / Общество
В современном цифровом мире репутация бренда формируется в режиме реального времени....
Открыть вклад в банке офлайн: какие документы возьмут, как торговаться за надбавку и избежать автопролонгации
25.10.2025 22:13 / Автомобили
Какие документы нужны для открытия вклада в банке офлайн, как договориться о надбавке к ставке и избежать авто...
Рейтинговые списки онлайн казино: что учитывается при составлении?
22.10.2025 16:05 / Спорт
Индустрию iGaming нельзя назвать на 100% безопасной. Из-за внушительный вложений часть от финансового пирога х...
Плюсы и минусы отдыха в Дербенте: когда ехать и где остановиться
17.10.2025 03:45 / В мире
Дербент — древний город на Каспии. Плюсы и минусы отдыха, лучшие районы, жилье, советы для туристов. Когда еха...