Серьезная уязвимость безопасности «Heartbleed» ставит под угрозу критически важные службы

Сегодня стало известно, что более половины интернета могли быть скомпрометированы из-за уязвимости безопасности двухлетней давности, которая также может повлиять на ряд онлайн-сервисов Bitcoin .

Уязвимость, названная «Сердце кровью обливается’, влияет на версии OpenSSL, реализацию протоколов интернет-безопасности SSL и TLS с открытым исходным кодом, которые шифруют и защищают интернет-трафик, включая: пароли, сообщения, электронную коммерцию и банковские операции, а также другие конфиденциальные данные, включая виртуальные частные сети (VPN). OpenSSL — самая популярная программная библиотека, используемая для этой цели.

Два года

Как сообщается, уязвимость Heartbleed известна исследователям с 2011 года, а хакерам «черной шляпы» — с 2012 года, что означает, что критически важные данные по большой части интернета были в открытом доступе в течение многих лет. Подтвержденных сообщений об эксплойтах не было, хотя атаки не оставляют следов.

Администраторы безопасности по всему миру сейчас спешно применяют исправления и меняют сертификаты и Secret ключи на тот случай, если они могли быть скомпрометированы.

Поскольку это ослабляет любой сайт, использующий «безопасный» протокол https, угроза T касается конкретно Bitcoin сервисов, таких как кошельки и биржи. Но учитывая тенденцию властей игнорировать кражи Bitcoin или неспособность эффективно расследовать их, это может сделать Bitcoin сервисы более уязвимыми, чем «традиционные» онлайн-финансы или другие критические.

Тестируйте сайты ваших услуг

Итальянский эксперт по безопасностиФилиппо Вальсордапостроилвеб-тесткоторый позволяет любому ввести имя хоста сервера, чтобы увидеть, затронуто ли оно или нет. Он также опубликовал открытый исходный код для тестана GitHub.

На момент написания статьи ввод адресов основных Bitcoin сервисов на сайте Valsorda показал, что Blockchain, Coinbase и BitPay были безопасны, но самая популярная в мире биржа Bitstamp, оставался уязвимым.

Валсорда также был больше обеспокоен онлайн-сервисами Bitcoin , чем чем-либо, присущим другим реализациям, заявив, что их «легко эксплуатировать и не так QUICK исправлять».

«Крайне важно сказать всем, чтобы они проверили все свои серверы и обновили их как можно скорее [...] Я, конечно , T могу быть уверен в этом, но программное обеспечение, специфичное для биткойнов (локальные кошельки и ETC.), не должно быть затронуто, даже если они используют OpenSSL, поскольку ошибка может быть вызвана только в активных соединениях TLS».

«Однако почти все, с чем сталкивается публика в экосистеме Bitcoin , (по праву) защищено с помощью TLS (включая все веб-кошельки, биржи, а также API и почтовые серверы) и потенциально (вероятно) подвержено уязвимостям».

Спешка с исправлением программного обеспечения, ротация сертификатов

По оценкам, более 50% интернет-серверов используют ту или иную форму OpenSSL (а возможно, и гораздо больше). Мысль о том, что более половины конфиденциальных данных интернета могли быть раскрыты в течение двух лет, заставила службы безопасности потеть.

Используя Heartbleed, злоумышленник может получить доступ к оперативной памяти уязвимых систем, что позволит ему просматривать до 64 килобайт данных за раз — достаточно, чтобы накопить достаточно знаний для доступа к Secret ключам системы. Эти ключи используются для шифрования и расшифровки конфиденциального трафика и идентификации поставщиков услуг.

Получив Secret ключи, злоумышленники могут открыто читать любой трафик, входящий и исходящий с сервера, или выдавать себя за службы и пользователей.

Атаки на уязвимую систему не требуют использования методов «человек посередине» и не оставляют следов, не давая системным администраторам возможности точно узнать, были ли скомпрометированы их системы.

Масштабы потенциального ущерба ошеломили некоторых:

Heartbleed — RARE баг: сбой в Криптo , который приводит к утечке данных за пределы того, что она защищает. Так что это хуже, чем отсутствие Криптo вообще.





– Мэтт Блейз (@mattblaze) 8 апреля 2014 г.

Майк Хирн

, разработчик и председатель Комитета по законодательству и Политика Фонда Bitcoin , выразил надежду, что влияние на Bitcoin сервисы будет ограниченным, но отметил, что Bitcoin сервисы T всегда используют передовые методы обеспечения безопасности:

«Я надеюсь, что последствия будут ограниченными. Крупным сайтам придется сменить свои ключи SSL после обновления [...] Большинству сайтов следует хранить закрытые ключи для своих кошельков в другом серверном процессе, откуда данные нельзя будет извлечь таким образом. Однако меня не удивит, если несколько сайтов по какой-либо причине не будут работать таким образом и могут пострадать от краж».

Компании реагируют

После этой новости многие биржи Bitcoin и альткоинов опубликовали в Twitter официальные ответы и проинформировали пользователей о ходе устранения уязвимости.

#Bitstampотключает функции регистрации, входа в систему и вывода всех виртуальных валют в качестве меры предосторожности после недавних новостей OpenSSL.

— Bitstamp (@Bitstamp)8 апреля 2014 г.

В интервью CoinDesk генеральный директор Bitstamp Нейц Кодрич рассказал, что, хотя компания успешно исправила неполадки на своих серверах, ее поставщик услуг по борьбе с DDoS-атаками Incapsula должен сделать то же самое, чтобы обеспечить полную безопасность.

Поэтому биржа решила остаться «на безопасной стороне» ивременно деактивировать регистрация учетных записей, вход в учетные записи и все функции вывода виртуальной валюты.

С тех пор другие биржи опубликовали аналогичные заявления через платформу, включая Bitfinex — недавнее дополнение кBPI от CoinDesk.

Исправлена ошибка Heartbleed на Bitfinex, вывод средств пока отключен, пока мы не убедимся, что все в безопасности

— Bitfinex.com (@bitfinex)8 апреля 2014 г.

Между тем, такие платформы, как localbitcoins.com иBitcurexсообщили о большем успехе:

Мы снова в строю, ошибка Heartbleed исправлена.<a href="http://t.co/OwP9Ft1dE7">T</a>

— LocalBitcoins.com (@LocalBitcoins)8 апреля 2014 г.

Blockchain.info также опубликовал заявлениечерез свой веб-сайт заявив, что это обновленные услуги неделю назад. Компания также подчеркнула, что пароли к кошелькам никогда не отправляются на ее сервер.

В сообщении говорится: «Мы продолжим расследование по мере необходимости и предоставим вам любые необходимые обновления».

Публичный информационный релиз

Новость о существовании Heartbleed была опубликована финской консалтинговой компанией по ИТ-безопасностиКоденомикон, который опубликовал описание после того, как попробовал эксплойт сам. Инженер по безопасности Google, Нил Мехта, сообщил об этомКоманда OpenSSLв то время как Адам Лэнгли и Бодо Мёллер подготовили исправление.

Название происходит от наличия ошибки в расширении OpenSSL «heartbeat» и не отражает какой-либо изъян в самом протоколе SSL/TLS.

Codenomicon заявил, что эксплуатация уязвимости была «легкой» и что компания успешно атаковала свои собственные сервисы, получив доступ к Secret ключам для Сертификаты X.509, имена пользователей и пароли, а также другие «критически важные для бизнеса» сообщения.

OpenSSL-ыконсультативный совет по безопасностизаявил, что Heartbleed затронул версии 1.0.1 и 1.0.2-beta библиотеки программного обеспечения, включая 1.0.1f и 1.0.2-beta1.

«Проверка отсутствующих границ при обработке расширения TLS heartbeat может использоваться для раскрытия до 64 КБ памяти подключенному клиенту или серверу», — говорится в нем, и пользователям рекомендуется либо немедленно обновиться, либо удалить heartbeat из своей версии OpenSSL, перекомпилировав ее с -DOPENSSL_NO_HEARTBEATS.

Соавтором этой истории является Грейс Каффин.

Сердцеизображение через Shutterstock