11 апреля 2014
Как обезопасить себя от риска, связанного с уязвимостью в OpenSSL
Миллионы сайтов, пользовательских паролей, данных кредитных карт и другая персональная информация оказалась под угрозой из-за уязвимости в широко используемой криптографической библиотеке OpenSSL, получившей название Heartbleed.
Эксперты из Netcraft
заявили, что уязвимыми являются около полумиллиона ресурсов, имеющих репутацию надежных и пользующихся доверием пользователей. Это значит, что, несмотря на шифрование, под угрозой находится информация, проходящая через сотни тысяч сайтов.
Одним из таких хорошо известных сайтов, использующих OpenSSL, является Yahoo!. С момента обнаружения уязвимости компания выпустила исправления. Популярные сайты, использующие TLS расширение Heartbeat, в том числе Twitter, Facebook, GitHub, Bank of America и DropBox, также устранили уязвимость.
Пользователь может проверить на наличие Heartbleed-уязвимости сайт, которым он обычно пользуется,
здесь. Если брешь обнаружена, необходимо прекратить его использование.
При помощи специального
приложения от LastPass можно определить, какое шифрование использует сайт, и когда оно обновлялось в последний раз. Кроме того, можно воспользоваться сканером , разработанным
Provensec или
GlobalSign SSL. Одним из надежных способов также является проверка при помощи приложения для браузера Chrome –
Chromebleed от исследователя Джейми Хойла (Jamie Hoyle).
Если уязвимость не затрагивает сайт, который пользователь регулярно посещает, рекомендуется сменить пароль. Если брешь все еще не устранена, то менять учетные данные нет смысла, так как они все равно могут быть скомпрометированы. Кроме того, использовать один и тот же пароль при регистрации на разных ресурсах, нежелательно.
Во время пользования публичными сетями Wi-Fi не рекомендуется авторизоваться на сайтах, которые могут быть затронуты уязвимостью. Брешь присутствует в версиях OpenSSL от 1.0.1 до1.0.1f и 1.0.2-beta1, и устранена в OpenSSL 1.0.1g.