Версия для КПК

GaGa.Su

Услуги специалистов

Нижнего Новгорода


Безопасность

Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября 2013 года

Безопасность 

Предстоит длительный процесс смены SSL-сертификатов, ключей шифрования и обычных паролей, отсутствие утечки которых невозможно гарантировать ...

Безопасность

Стали появляться свидетельства возможного применения Heartbleed-уязвимости в OpenSSL (CVE-2014-0160) для совершения вредоносных действий за несколько месяцев до выявления проблемы сотрудниками компаний Google и Codenomicon. Следы одной из таких атак зафиксированы компанией MediaMonks в журналах аудита, датированных ноябрём прошлого года. Сохранённые в журналах пакеты с нескольких серверов, подозреваемых во вредоносной активности, совпали по своему характеру с пакетами, применяемыми при эксплуатации Heartbleed-уязвимости.

По мнению Брюса Шнайера, известного эксперта в области компьютерной безопасности, Heartbeat-уязвимость в OpenSSL следует причислить к категории катастрофических уязвимостей, уровень опасности которой составляет 11 баллов, если рассматривать существующую 10-бальную шкалу степеней опасности с учётом того, что OpenSSL является самой распространённой криптографической библиотекой в Сети.

Благодаря широкому освещению проблемы за два дня с момента её обнародования около 1/3 всех серверов уже применили обновление с устранением уязвимости. Тем не менее, по предварительным данным в Сети ещё остаются уязвимыми около 600 тысяч серверов. Но проблема далека от своего решения - непонятно, что делать со встраиваемыми и мобильными продуктами, подверженными уязвимости, но не предусматривающими возможность автоматического обновления прошивки.

Кроме того, начинается волна атак на клиентские приложения, использующие OpenSSL. Например, вслед за появлением эксплоитов для серверных систем уже доступен прототип эксплоита с реализацией фиктивного HTTPS-сервера, при обращении к которому осуществляется атака на клиента. Эксплоит успешно протестирован для извлечения данных из памяти таких приложений, как wget 1.15, curl 7.36.0, links 2.8, git 1.9.1, MariaDB 5.5.36 (клиент), nginx 1.4.7 (в режиме прокси). Например, можно извлечь параметры прошлых запросов, в том числе содержащих пароли доступа.

В условиях возможности незаметного проведения атаки, без оставления следов в логе, также предстоит длительный процесс смены SSL-сертификатов, ключей шифрования и обычных паролей, отсутствие утечки которых невозможно гарантировать. Потенциально любой пароль и сертификат мог попасть в руки злоумышленников, и непонятно, когда и где подобные утечки могут проявиться. Из крупных сайтов, которые потенциально могли подвергнуться атаке отмечаются Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, а также многие банки и финансовые сервисы.

Шнайер считает близкой к единице вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей. Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL. Даже если проблема была внесена случайно, за два года присутствия в кодовой базе заинтересованные лица вполне могли её обнаружить и молча использовать.

Дополнение: администраторам у которых сохранились дампы трафика за время до публикации информации об уязвимости, предлагается проанализировать наличие в них сигнатур "18 03 02 00 03 01 40 00" или "18 03 01 00 03 01 40 00" (вместо "40 00" в конце может быть меньшее число), свидетельствующих о применении эксплоита. Особое внимание рекомендуется уделить на подсеть 193.104.110.* с которой в ноябре была выявлена подобная активность, а также другие подсети с которых наблюдается активность ботов.


www.opennet.ru
14.04.2014
 

* При цитировании материалов, ссылка на источник обязательна.
БезопасностьНовое мошенничество! Открыл ссылку - попал на деньги! (Безопасность) 15.01.2010

Платная подписка по одному клику – это реально! Один клик, и ты будешь должен несколько сот руб. в месяц сотовым операторам... Подробнее... Форум

БезопасностьHeartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября 2013 года (Безопасность) 14.04.2014

Предстоит длительный процесс смены SSL-сертификатов, ключей шифрования и обычных паролей, отсутствие утечки которых невозможно гарантировать Подробнее...

Содержание

Нижний Новгород
БезопасностьHeartbleed, ShellShock, Winshock и Kerberos – «четыре всадника Апокалипсиса» в цифровом пространстве (Безопасность) 16.01.2015

По мнению вице-президента LightCyber, эти уязвимости могут быть гораздо более распространенными, чем принято считать. Подробнее...

БезопасностьТроянцы-блокировщики становятся все более серьезной угрозой для пользователей ОС Android (Безопасность) 11.08.2014

в распоряжение специалистов компании «Доктор Веб» очередной представитель таких троянцев-вымогателей несколько выбивается из общей массы Подробнее...

БезопасностьМошенники в Интернете и по телефону (Безопасность) 16.11.2009

Ваш или вашего знакомого, а может сына/дочери, брата или отца телефон разрывается от звонка. Вы снимаете трубку и приятный мужской голос говорит: "Здравствуйте, это инженерная служба вашего сотового о Подробнее... Форум

БезопасностьЛаборатория Касперского обнаружила «бестелесного» бота (Безопасность) 19.03.2012

Согласно исследованию компании, вредоносная программа функционирует исключительно в оперативной памяти зараженного компьютера. Подробнее...

БезопасностьУкраина продала за рубеж документацию на стратегическую ракету (Безопасность) 15.01.2015

Украинский разработчик межконтинентальных баллистических ракет (МБР) КБ "Южное" продал за рубеж документацию на малогабаритную жидкостную МБР "Копье" Подробнее...

БезопасностьВ командной оболочке bash обнаружена критическая уязвимость (Updated 2) (Безопасность) 25.09.2014

Обнаружен метод обхода исправления уязвимости в оболочке bash Подробнее...

БезопасностьMicrosoft тоже, как и Apple, и Google собирает данные о местоположении пользователей (Безопасность) 28.04.2011

Смартфоны на базе мобильных ОС Microsoft, в том числе Windows Phone 7, в автоматическом режиме собирают информацию о местоположении пользователей. Подробнее...

БезопасностьТест антируткитов от anti-malware.ru (Безопасность) 17.04.2010

Цель – проверить способность наиболее известных антируткитов обнаруживать и удалять широко распространенные в сети вредоносные программы (ITW-образцы), использующие руткит-технологии. Подробнее...

БезопасностьКак воруют данные с банкомата (Безопасность) 17.02.2011

По мнению представителей банка, такая схема — одна из наиболее популярных схем воровства данных кредитных карт с банкоматов. Обычно, подобные устройства устанавливаются в ночь перед выходными Подробнее... Форум

БезопасностьОбнаружен ботнет, эксплуатирующий уязвимость ShellShock (Безопасность) 26.09.2014

Ботнет был найден спустя несколько часов после публикации деталей о критической уязвимости в Bash. Подробнее...