Pages
-
Recent Posts
- Проповедь: “Бог, сотворивший наш мир и нас” (Бытие 1:2-25)
- Проповедь: “Свидетельствующие об Иисусе” (От Иоанна 15:18-16:4)
- Heartbleed: кровоточащая рана Интернета (статья для RefNews)
- Проповедь: “Иди ко Мне и пей” (От Иоанна 7:1-52)
- “Церковь закрыта на ремонт. Новых членов не принимаем”
- Проповедь: “Где нам купить хлебов, чтобы их накормить?” (От Иоанна 6:1-15)
- Когда сердятся близкие люди
- “Вещи надо называть своими именами”
- Осенние люди
- Несколько слов о живучей батарее Макбука
- Фотоальбомы из Шри-Ланки (2013)
- InterBiblia Reader for iOS – обновление 1.1 отправлено в Apple
- Выпущена программа InterBiblia Reader for iPhone/iPad (будущая “Цитата”)
- Пасха-2013 в Коломбо, Шри-Ланка
- Машинный перевод: Яндекс v.s. Google
Categories
- Audio (7)
- Bible study (38)
- BibleQuote (12)
- Books (56)
- Calvinism (3)
- Children (35)
- Christmas (19)
- Church (17)
- Easter (11)
- Electronic books (28)
- Evangelism (10)
- Family (31)
- Gospel (2)
- Hymns and songs (17)
- Internet (47)
- Ministry (22)
- People (83)
- Photo (10)
- Prayer (14)
- Quotes (31)
- Science (1)
- Sermons (35)
- Software (63)
- Tips (1)
- Translations (40)
- Travel (8)
- Unfinished thoughts (77)
- Video (22)
- Who is the author (5)
Archives
- September 2014
- June 2014
- April 2014
- January 2014
- December 2013
- October 2013
- September 2013
- August 2013
- May 2013
- April 2013
- March 2013
- February 2013
- January 2013
- December 2012
- September 2012
- June 2012
- May 2012
- April 2012
- March 2012
- February 2012
- January 2012
- December 2011
- November 2011
- October 2011
- September 2011
- August 2011
- July 2011
- June 2011
- May 2011
- April 2011
- March 2011
- February 2011
- January 2011
- December 2010
- November 2010
- October 2010
- September 2010
- August 2010
- July 2010
- June 2010
- May 2010
- April 2010
- March 2010
- February 2010
- January 2010
- December 2009
- November 2009
- October 2009
- September 2009
- August 2009
- July 2009
JesusChrist.ru and others
Sites in English
- A Slice of Infinity (Ravi Zacharias)
- Between Two Worlds (Justin Taylor)
- Desiring God (John Piper)
- L'Abri Ideas Library (Francis Schaeffer)
- Martyn Lloyd-Jones (audio)
- Miscellanies (Tony Reinke)
- Philip Yancey
- Reclaiming the Mind Ministries (C. Michael Patton)
- Sinclair B. Ferguson (audio)
- The Pyromaniacs
Sites in Russian
Tags
Android Kindle LiveJournal Августин Библия Бог Евангелие Иисус Христос Интернет Исаия Италия Льюис Пасха Псалтирь Рождество Синклер Фергюсон Христос Хроники Нарнии Церковь Цитата из Библии благодать вера гимн грех дети друзья духовный рост единство жизнь история книги любовь люди молитва перевод песня познание Бога проповедь свидетельство семья служение софт социальная сеть христианская жизнь электронные книги
Heartbleed: кровоточащая рана Интернета (статья для RefNews)
Надеюсь, на прошлой неделе все пользователи уже сменили пароли к Google, Facebook, Instagram, Yahoo, Yandex и т.д., а админы проверили свои серверы на сайте Qualys SSL Labs. Статью ниже я написал по горячим следам для сайта RefNews, а в блоге сохраню для истории
8 апреля 2014, медленно просыпаясь от первого шока, мировые СМИ начали публиковать новости о дыре безопасности, найденной в реализации протокола SSL, предназначенном для шифрования сетевой переписки, Интернет-банкинга и других онлайн-услуг.
Из сервисов мирового уровня уязвимым оказался даже Yahoo.com, из российских – такие, как Яндекс.Почта, сайты Альфа-банка и Райфайзен-банка (по данным Habr.ru). На Yahoo.com можно было перехватывать логины и пароли пользователей и, предположительно, то же самое можно было делать и на Яндекс.Почте. Банкам, обычно использующим дополнительную авторизацию по СМС, повезло больше. Даже если бы злоумышленники перехватили логин и пароль клиента банка, без СМС они не смогли бы провести никаких финансовых операций.
Найденной ошибке в коде библиотеки OpenSSL, реализующей протокол SSL практически во всем Интернете, было дано звонкое название Heartbleed (кровотечение сердца). Хакеры-исследователи, обнаружившие проблему, добросовестно сообщили о ней как разработчикам OpenSSL, так и администраторам крупных сайтов, которые, в свою очередь, быстро обновили программное обеспечение и залатали дыру. Для администраторов остальных, обычных сайтов были оперативно (фактически за день) созданы информационные ресурсы (Heartbleed.com и др.) и странички, где можно было проверить, уязвим ли их сайт или нет, и получить нужные рекомендации по укреплению безопасности.
Казалось бы, вполне бытовая ситуация для компьютерщиков: нашли ошибку, исправили, живем спокойно дальше. Какое дело до этого обычным пользователям? Разве обычные пользователи не относятся к Интернету уже давно как к электричеству? Включил и пользуешься. Как в случае с электроприбором обычному человеку не важно, какой идет ток, подходит ли он, вреден ли он для прибора или нет, так и здесь – лишь бы была связь и сайты работали. Но тогда такие новостные ресурсы как BBC не писали бы крупными буквами:
Дело вот в чем. Эта ошибка в коде библиотеки OpenSSL просуществовала аж с декабря 2011-го года. То есть те сайты, которые использовали «больную» версию библиотеки, болели все эти два с половиной года! Теперь представьте себе, что кто-то менее добросовестный, но тоже нашедший эту дыру в безопасности, мог перехватывать ваш логин в Яндекс.Почта все это время, читать вашу деловую переписку, заходить в Яндекс.Деньги под тем же паролем и пытаться что-нибудь сделать с вашими деньгами. Разве это не тревожная новость, требующая более пристального внимания?
Средство, предназначенное для защиты информации, передаваемой по Интернету, оказалось банально уязвимым перед атаками злоумышленников. Для получения секретной информации даже не нужно было взламывать операционную систему сервера. Достаточно было послать специально сформированный запрос на установку защищенного соединения, так называемое «рукопожатие», после чего сервер из-за ошибки в коде стал бы выдавать куски оперативной памяти, в которой были доступны: а) ключи и сертификаты, используемые для шифрования, б) данные из последних сеансов (кусками по 64 килобайт), в которых могли содержаться логины и пароли десятков или сотен пользователей, только что побывавших на сайте. И этим анализом данных можно было заниматься целыми днями, не оставляя практически никаких подозрительных следов в журналах сервера. Ведь совершалось только «рукопожатие», а любой публичный сервер должен отвечать на подобные запросы.
Перехват ключей и сертификатов также означал, что, имея доступ к инфраструктуре определенной сети (например, взломав сеть интернет-провайдера или какой-нибудь компании), злоумышленник мог «здороваться» с пользователями, притворяясь, скажем, Yahoo.com или Яндекс.Почтой. Если в обычной ситуации механизм проверки цифровой подписи в браузере мог бы подсказать пользователю, что сайт не прошел проверку и может быть поддельным, то в данном случае ничего такого обнаружить не получилось бы.
Какой из всего этого можно сделать вывод?
Если просто говорить о том, что делать, то всем администраторам теперь надо обновить свои серверы, библиотеки, ключи и сертификаты, а пользователям – желательно поменять все пароли, особенно пароли от электронной почты и сайтов интернет-банков.
А когда сделаем все это, остается лишь надеяться, что злоумышленники, если они знали об этой ошибке, не успели натворить много зла.
Так или иначе, снова и снова убеждаешься в том, насколько хрупок этот мир, в данном случае мир компьютерных технологий. Математически доказанная безопасность SSL-протокола, код библиотеки OpenSSL, открытый всему миру для изучения, исследования и совместной разработки, различные принципы построения безопасных сетей – все это смогло развалиться из-за одной маленькой ошибки, совершенной в всего 2-3 строчках кода!