Серйозна помилка безпеки «Heartbleed» ставить під загрозу критичні служби

Сьогодні було виявлено, що більше половини Інтернету могло бути скомпрометовано через помилку безпеки дворічної давності, яка також могла вплинути на ряд онлайн-сервісів Bitcoin .

Уразливість під назвою "Heartbleed», впливає на версії OpenSSL, реалізації з відкритим вихідним кодом протоколів інтернет-безпеки SSL і TLS, які шифрують і захищають інтернет-трафік, зокрема: паролі, повідомлення, електронну комерцію та банківські послуги, а також інші конфіденційні дані, включаючи віртуальні приватні мережі (VPN). OpenSSL є найпопулярнішою програмною бібліотекою, яка використовується для цієї мети.

Два роки

Повідомляється, що недолік Heartbleed відомий дослідникам з 2011 року, а хакерам із «чорним капелюхом» — з 2012 року, що означає, що критично важливі дані у великій частині Інтернету були відкрито доступні протягом багатьох років. Підтверджених повідомлень про експлойти не було, хоча атаки не залишають слідів.

Адміністратори безпеки по всьому світу зараз поспішно застосовують виправлення та змінюють сертифікати та Secret ключі на випадок того, що вони могли бути скомпрометовані.

Оскільки це послаблює будь-який сайт, який використовує «захищений» протокол https, загроза стосується T лише Bitcoin сервісів, таких як гаманці та біржі. Але враховуючи тенденцію влади ігнорувати крадіжки Bitcoin або нездатність їх ефективно розслідувати, це може зробити Bitcoin сервіси більш уразливими, ніж «традиційні» онлайн-фінансові чи інші критично важливі.

Перевірте сайти своїх послуг

Італійський експерт з безпеки Філіппо Вальсорда побудований a веб-тест що дозволяє будь-кому ввести ім’я хоста сервера, щоб побачити, чи це впливає на нього чи ні. Він також опублікував відкритий вихідний код для тесту на GitHub.

На момент написання статті введення адрес основних Bitcoin сервісів на сайті Valsorda показало, що Blockchain, Coinbase і BitPay безпечні, але найпопулярніша у світі біржа Bitstamp залишався вразливим.

Вальсорда також був більше стурбований онлайн-сервісами Bitcoin , ніж будь-чим, що властиве іншим реалізаціям, сказавши, що їх «просто використовувати та не так QUICK виправляти».

«Важливо повідомити всім перевірити всі свої сервери та оновити якнайшвидше [...] Я, очевидно, T можу бути позитивним щодо цього, але спеціальне програмне забезпечення для біткойнів (локальні гаманці ETC) не повинно вплинути, навіть якщо вони використовують OpenSSL, оскільки помилка виникає лише в живих з’єднаннях TLS».

«Однак майже все, з чим стикається громадськість в екосистемі Bitcoin , (справедливо) захищено TLS (думаю, усі веб-гаманці, біржі, а також API та поштові сервери) і потенційно (ймовірно) постраждає».

Поспішаючи виправляти програмне забезпечення, міняти сертифікати

За оцінками, понад 50% інтернет-серверів використовують певну форму OpenSSL (і, можливо, набагато більше). Думка про те, що більше половини конфіденційних даних в Інтернеті могла бути розкрита протягом двох років, змусила відділи безпеки пітніти.

Використовуючи Heartbleed, зловмисник міг отримати доступ до оперативної пам’яті уражених систем, дозволяючи їм переглядати до 64 кілобайт даних одночасно – достатньо, щоб отримати достатньо знань для доступу до Secret ключів системи. Ці ключі використовуються для шифрування та дешифрування конфіденційного трафіку та ідентифікації постачальників послуг.

Отримавши Secret ключі, зловмисники можуть відкрито читати будь-який трафік до сервера та з нього або видавати себе за служби та користувачів.

Атаки на вразливу систему не вимагають методів «людина посередині» та не залишають слідів, тому системні адміністратори не можуть точно дізнатися, чи їхні системи зламано.

Розмір потенційної шкоди викликав деяке здивування:

Heartbleed — це RARE помилка: збій у Крипто , через який відбувається витік даних за межі того, що вона захищає. Тож гірше, ніж взагалі відсутність Крипто .





– Метт Блейз (@mattblaze) 8 квітня 2014 року

Майк Хірн

, розробник і голова правового та Політика комітету Bitcoin Foundation, висловив надію, що вплив на Bitcoin сервіси буде обмеженим, але зазначив, що Bitcoin сервіси T завжди використовують найкращі методи безпеки:

«Я сподіваюся, що вплив буде обмеженим. Основні сайти повинні будуть міняти свої SSL-ключі після оновлення [...] Більшість сайтів повинні мати приватні ключі для своїх гаманців в іншому серверному процесі, де дані не можна отримати таким чином. Однак мене не здивує, якщо кілька сайтів не працюватимуть таким чином з будь-якої причини та можуть постраждати від крадіжок».

Компанії реагують

Після цієї новини багато Bitcoin і альткойнів у Твіттері опублікували офіційні відповіді та повідомили користувачів про свій прогрес у боротьбі з недоліком.

#Bitstamp вимикає ареєстрацію, вхід і всі функції виведення віртуальної валюти як запобіжний захід після останніх новин OpenSSL.





— Bitstamp (@Bitstamp) 8 квітня 2014 року

В інтерв’ю CoinDesk генеральний директор Bitstamp Нейц Кодріч розповів, що хоча компанія успішно виправила свої сервери, її постачальник засобів пом’якшення DDoS, Incapsula, повинен зробити те саме для забезпечення повної безпеки.

Таким чином, біржа вирішила залишитися «на безпечній стороні». тимчасово вимкнути реєстрація облікових записів, вхід в обліковий запис і всі функції виведення віртуальної валюти.

З тих пір інші біржі опублікували подібні заяви через платформу, включаючи Bitfinex – нещодавнє доповнення BPI CoinDesk.

Виправлено помилку Heartbleed на Bitfinex, зняття коштів наразі вимкнено, доки ми не переконаємося, що всі в безпеці





— Bitfinex.com (@bitfinex) 8 квітня 2014 року

Тим часом такі платформи, як localbitcoins.com і Bitcurex повідомили про більший успіх:

Ми знову на ногах, помилку heartbleed виправлено. <a href="http://t.co/OwP9Ft1dE7">http:// T.co/OwP9Ft1dE7</a>





— LocalBitcoins.com (@LocalBitcoins) 8 квітня 2014 року

Blockchain.info також опублікував заяву через свій веб-сайт заявивши, що це оновив послуги тиждень тому. Компанія також підкреслила, що паролі гаманця ніколи не надсилаються на її сервер.

У ньому додано: «Ми продовжуватимемо розслідування за потреби та надамо вам будь-які необхідні оновлення».

Публічна інформація

Новину про існування Heartbleed оприлюднила фінська консалтингова компанія з ІТ-безпеки Коденомікон, який опублікував опис після того, як спробував експлойт на собі. Інженер безпеки Google Ніл Мехта повідомив про це Команда OpenSSL а Адам Ленглі та Бодо Меллер підготували виправлення.

Назва походить від наявності помилки в розширенні «heartbeat» OpenSSL і не є недоліком у самому протоколі SSL/TLS.

Codenomicon заявив, що експлуатація була «легкою» і що вона успішно атакувала власні служби, отримавши доступ до Secret ключів для Сертифікати X.509, імена користувачів і паролі та інші «важливі для бізнесу» повідомлення.

OpenSSL порада з безпеки сказав, що Heartbleed вплинув на версії 1.0.1 і 1.0.2-beta бібліотеки програмного забезпечення, включаючи 1.0.1f і 1.0.2-beta1.

«Перевірка відсутніх меж у обробці розширення серцевого ритму TLS може бути використана, щоб відкрити до 64 Кб пам’яті для підключеного клієнта або сервера», — йдеться в документі, порадивши користувачам або негайно оновити, або видалити серцеві сигнали зі своєї версії OpenSSL, перекомпілювавши її за допомогою -DOPENSSL_NO_HEARTBEATS».

Співавтором цієї історії є Грейс Кефін.

серце зображення через Shutterstock