menu
menu
logo

Heartbleed – новая и очень серьезная угроза безопасности

Вечером в понедельник специалисты компании Codenomicon и исследователь Google Нил Мита сообщили об обнаружении чрезвычайно опасной уязвимости. Она получила официальное наименование CVE-2014-0160, однако гораздо чаще используется предложенное Codenomicon название Heartbleed. Ему не откажешь в точности: Heartbleed способен заставить схватиться за сердце многие тысячи пользователей.

Уязвимость коренится в программном обеспечении с открытым кодом доступа OpenSSL, которое чрезвычайно широко используется в сети для шифрования данных. Heartbleed позволяет расшифровывать эти данные и извлекать из памяти серверов конфиденциальную информацию, включая имена учетных записей, пароли и номера кредитных карт. Также с помощью Heartbleed киберпреступники в состоянии получить копии цифровых подписей серверов, что, теоретически, позволяет им выдавать за легитимные серверы свои собственные, созданные для кибератак.

Специалисты оценивают нынешнюю угрозу как одну из самых серьезных за последнее время. Она потребует существенных изменений от множества веб-сайтов, а очень большому числу пользователей предстоит в обязательном порядке сменить свои пароли. На данный момент самой крупной жертвой Heartbleed оказалась Yahoo. Специалисты сообщают о многих сотнях паролей от учетных записей Yahoo, уже появившихся в сети, и о чрезвычайной легкости, с которой добываются такие пароли в ходе тестовых атак, организованных самими исследователями.

Yahoo, впрочем, уже заявила об устранении уязвимости в основных своих сервисах и заверила, что в ближайшее время ликвидирует ее полностью. Однако очевидно, что список сайтов и сервисов, пострадавших от Heartbleed, будет в ближайшее время только пополняться.

Специалист по криптографии Филиппо Вальсорда создал и разместил в сети инструмент для проверки веб-сайтов на наличие уязвимости - http://filippo.io/Heartbleed/. В данный момент, согласно его данным, Heartbleed не затронул ведущие российские сервисы – такие как Yandex, Mail.ru и ВКонтакте, а также таких мировых лидеров как Google, Microsoft, Twitter, Facebook и Dropbox. Тем не менее, эксперты рекомендуют пользователям сохранять максимальную осторожность. Они советуют проверять ресурсы с помощью предложенного инструмента на наличие уязвимости. При этом в случае положительного ответа менять пароль на пострадавшем ресурсе следует не сразу, а лишь после официального заявления администраторов о том, что уязвимость устранена. Кроме того клиентам онлайн-банкинга стоит уделить повышенное внимание состоянию своих счетов, а всем пользователям – в очередной раз задуматься над тем, чтобы использовать разные пароли для каждого из ресурсов, на котором создается учетная запись.

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте