Недавно специалисты по компьютерной безопасности обнаружили одну из самых больших пробоин в безопасности интернета. По приблизительным оценкам, от уязвимости HeartBleed могут пострадать свыше 60% всех сайтов. Но стоит ли беспокоиться простым пользователям об этой бреши? Эксперты полагают, что раздутая СМИ уязвимость на самом деле не такая уж страшная.
Словом Heartbleed (кровоточащее сердце) назвали изъян в криптографической библиотеке OpenSSL, которую многие компании и веб-сайты используют для защиты информации. При ее активности в адресной строке браузера отображается иконка с замком. Из-за программной ошибки злоумышленники могут получать доступ к личным данным пользователей, не оставляя следов на сервере. В теории с помощью Heartbleed кибервор может считать оперативную память удаленного компьютера, в которой содержатся пароли, логины, номера банковских карт и другая очень ценная информация.
Бесправные пользователи интернета
Пока СМИ выясняют, какие сайты оказались более уязвимыми к новой бреши, простой пользователь мало что может сделать для своей защиты. Все, что ему доступно, – это проверить, какую версию библиотеки OpenSSL используют его любимые сайты. Если они внедрили исправленную, тогда – сменить свои пароли.
Однако был ли веб-сайт вообще уязвим, и воспользовался ли кто-то этой брешью? Некоторые веб-ресурсы, например, Google, Tumblr, Yahoo Mail, Dropbox и некоторые другие признали о том, что данные с их сервисов могли украсть и посоветовали сменить пароли. Facebook, например, просто промолчал на запросы журналистов Mashable, но тоже предложил изменить пароль. А многие организации вообще не предложили ничего и просто игнорируют Heartbleed.
Ущерб неизвестен
Пока веб-ресурсы по-тихому исправляют уязвимость, не сообщая об этом пользователям, эксперты говорят, что потери от нее останутся неизвестными. Поэтому им просто не стоит переживать и нужно просто менять пароли и пользоваться современными версиями веб-браузеров.
«Не паникуйте, – говорит Стивен Фаррел. Он работает криптологом в дублинском колледже Троицы и выступает за более широкое использование шифрования при передаче данных. – Администраторы веб-серверов уже оканчивают установку патчей. А пользователям нужно просто использовать последние версии браузеров».
Что касается самой уязвимости, эксперт говорит, что масштаб от нее может быть преувеличен, ведь ей не так просто воспользоваться. «Я еще не решил, можно ли с ее помощью получить ключи доступа, – говорит Фаррел. – В принципе эксплоит может выудить ключи с сервера. Но я пока еще не видел точных деталей в реализации этой схемы».
По материалам: Technology Review.
