Эксперты говорят ошибка Heartbleed OpenSSL — ошибка в сетевом программном обеспечении, предназначенном для защиты ваших данных — возможно, на самом деле позволила хакерам украсть те самые данные, которые оно должно защищать. Думаете, вы застрахованы от этой непонятной ошибки в OpenSSL, чем бы она ни была? Подумайте еще раз. Один эксперт отметил, что им пользуются «почти все».
«Учитывая, что более половины веб-серверов в мире используют Apache, а Apache использует OpenSSL, большинство людей используют приложения, которые регулярно создаются на базе OpenSSL», — объяснил Стив Пейт, главный архитектор компании облачных услуг. ХайТраст.
Рекомендуемые видео
Ошибка Heartbleed дыра в безопасности, обнаруженная в OpenSSL, широко используемое сетевое программное обеспечение, которое шифрует конфиденциальные данные, которые вы вводите на многие популярные веб-сайты. Уязвимость позволяет хакерам красть данные непосредственно из микросхем памяти серверов по всему миру и существует уже около двух лет. Джин Таггарт, старший исследователь безопасности компании Malwarebytes, которая производит популярное программное обеспечение для защиты от вредоносных программ, описала это как простой способ для мошенников незаметно заполучить ваши данные.
БОЛЕЕ: Что такое ошибка Heartbleed?
«Эта уязвимость дает киберпреступникам возможность собирать очень конфиденциальную информацию, например, частные ключи шифрования. Если злоумышленник извлек секретный ключ с помощью уязвимости Heartbleed, он может выдать себя за жертву и организовать необнаружимую атаку «человек посередине», — сказал Таггарт.
По словам Пейта, OpenSSL уже давно уязвим для атак: первая ошибка, обнаруженная HyTrust еще в мае 2009 года. Однако Пейт также отмечает, что хотя в OpenSSL 1.0.1 и 1.0.2-бета уже есть исправления ошибок Heartbleed, если используются затронутые версии, возможно, хакеры уже использовали эксплойт для кражи конфиденциальных данных. данные.
Таггарт также пояснил, что устранение бреши в системе безопасности будет непростой задачей.
«Исправить эту ошибку будет непросто, потому что, хотя специалисты по безопасности могут провести обновление, многие не будут сбрасывать свои сертификаты, поскольку это сложная и длительная задача. Таким образом, если они были скомпрометированы до объявления об ошибке, их закрытые ключи уже могли быть скомпрометированы. в руках злоумышленников, а их зашифрованные сообщения могут быть перехвачены третьими лицами. стороны."
БОЛЕЕ: На какие веб-сайты влияет ошибка Heartbleed?
Натаниэль Купер-Ноулс, главный консультант по безопасности в охранная фирма Неохапсис заявил, что, хотя существуют обходные пути и исправления для борьбы с Heartbleed, «лошадь, возможно, уже вышла из сарая».
«Многие организации не имеют инструментов для определения того, уязвимы ли они и где, атака может не оставить никаких следов. следы, различимые от законного трафика, и последствия потенциально могут быть долгосрочными», — Купер-Ноулс. сказал. Вдобавок ко всему, Купер-Ноулс отметил, что во всем мире могут существовать «сотни или тысячи затронутых систем».
В этот момент, изменение ваших паролей — лучший способ защитить себя от ошибки Heartbleed. Более того, избегая веб-страниц в этом списке сайтов которые предположительно подвержены уязвимости OpenSSL, также настоятельно рекомендуется.
Изображение предоставлено: http://www.wallpaperzzz.com
Рекомендации редакции
- Создатель ChatGPT запускает программу вознаграждения за обнаружение ошибок с денежным вознаграждением
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.