Какво е Heartbleed и как да се защитим

Защитени ли сте от критичната грешка Heartbleed на OpenSSL- технологията за криптиране, който защитава, или поне би трябвало, чувствителна информация като нашите електронни пощенски кутии, пароли и банкови сметки?

Heartbleed грешката отваря „задната“ врата на киберпрестъпниците (не, нямаме предвид NSA!) да получат чувствителни данни, чрез достъп до паметта на компютъра.

Какво е Heartbleed грешка?

SSL и TLS служат за осигуряване на комуникационната сигурност и защита на личните данни за различни приложения в Мрежата като интернет страници, електронни пощи, бързи съобщения или виртуални частни мрежи (VPN).

Heartbleed е критична грешка (CVE-2014-0160) в популярната криптографска библиотека OpenSSL, която се използва в TLS (transport layer security protocols) и DTLS (Datagram TLS) (RFC6520).

Грешката е изследвана независимо едни от други от Riku, Antti и Matti, инженери по сигурността от Codenomicon, и Neel Mehta от Google Security, който първи докладва на OpenSSL екипа.

Софтуерните грешки не са единично явление, но тази е опасна с това, че милиони частни ключове и пароли могат да бъдат извлечени от паметта на сърварите. Това включва и потребителски имена, пароли, номера на кредитни карти и банкови сметки.

Разпространение

OpenSSL е най-често използваната криптографска библиотека за Apache и nginx Web които поддържат Transport Layer Security (TLS) разширението, наречено Heartbeat, което е добавено към TLS през 2012. Само двата сървъра, Apache и nginx, държат около 66% от активните мрежи, според изследването Netcraft's April 2014 Web Server Survey. Изследователите споменават за около 600 000 сървъра, засегнати от грешката, включително imgur, Hidemyass, Yahoo!, Flickr, Tumbler, Google, OKCupid, Twitter, Facebook, GitHub, Bank of America, DropBox, DuckDuckGo (частичен списък или тук). Според това изследване heartbeat разширението се използва в 17.5% от SSL мрежите. От друга страна само Yahoo има над 800 потребители…

OpenSSL се използва и за защита на пощенските сървъри (SMTP, POP и IMAP протоколи), чат сървъри (XMPP протокол), виртуални частни мрежи (SSL VPNs), мрежови приложения и огромно количество клиентски софтуер.

Заради грешката Канадската данъчна служба (Canada Revenue Agency) прекрати събирането на данъци по електронен път,  най-голямата аудиоплатформа SoundCloud прекрати временно дейността си до решаване на проблема. Почти всички засегнати изпратиха писма до абонатите си, с които ги уведомяват за проблема и какво се прави за решаването му. Други, като някои български банки, се правят, че такъв проблем не съществува. Съществува и рискът от phishing - да получите фалшиво писмо, уж от вашата банка или любим сайт, в което има линк за смяна на паролата. Никога не го използвайте, а отидете на съответния сайт и сменете паролата си през контролния си панел! В противен случай рискувате доброволно „да дадете“ паролата си на злонамерени люде.

Как работи Heartbeat?

Това не проблем на TLS/SSL технологията, която криптира Интернет, нито на OpenSSL. Това е просто програмна грешка. Heartbeat (англ. пулс) разширението е създадено от германският програмист д-р Robin Seggelmann в опит да се разширят възможностите и да се оптимизира работата на OpenSSL и предложено за одобрение на Нова година 2011/2012. Използвайки го два свързани компютъра си потвърждават връзката помежду си чрез обмяна на данни. Клиентът (потребителят) праща своя heartbeat към сървъра (мрежата) и сървърът го връща обратно. Ако единият от тях се изключи, другият ще разбере това чрез механизма на синхронизация.

Когато този heartbeat е изпратен, малка част от паметта на сървъра, около 64 kb, се прикача към отговора и атакуващият може да да я прихване, което води до изтичане на чувствителна информация като съдържание на съобщение, лични данни на потребителя, частни ключове и др. С изпращането на множество заявки атакуващият може да „сглоби“ значителен обем от информацията в паметта на сървъра.

Това означава че SSL частни ключове, потребителски имена и пароли, електронни съобщения и важни бизнес документи и комуникация могат да станат „собственост“ на киберпрестъпниците.

Тъй като ⅔ от сървърите използват OpenSSL, информацията от стотици хиляди сайтове може да бъде компрометирана. Грешката е отстранена в OpenSSL v1.0.1g.

Най-големите доставчици като Gmail, YouTube, Facebook, Tumblr, Yahoo и Dropbox фиксират проблема своевременно, но има много сайтове, на които това още предстои. Повечете от тях съветват потребителите своевременно да сменят паролите си, докато това стане.

Как да проверите дали посещаваните от вас мрежи са заплашени?

1. Може да започнем от себе си, особено ако използвате компютъра си като малък (домашен) сървър:

Проблемните версии на OpenSSL са 1.0.1 до 1.0.1f и 1.0.2-beta1 и трябва да се надградят до OpenSSL 1.0.1g. Проблемът е „пуснат на свобода“ през март 2012 и не е открит в по-старите версии.

2.  Можете да отидете на http://filippo.io/Heartbleed/ и да въведете името или ip адреса на сайта, от който се интересувате. Ако се покаже червено поле, по-добре засега избягвайте този адрес.

3. Ако използвате LastPass за генериране и съхранение на паролите си можете да използвате директна връзка, като чукнете на иконата на LassPass добавката > Tools > Security Check, за да проверите сигурността на съхранените сайтове. Резултатът не е много радващ:

Ако не сте абонат на услугата можете да отидете на уеб приложението, създадено за  проверка на произволен сайт:

4. Provensec също предлага скенер на адрес http://provensec.com/heartbleed/:

5. GlobalSign SSL Configuration Checker:

6. Ако любимият ви браузър е Google Chrome, използвайте добавката Chromebleed, създадена от изследователя Jamie Hoyle.

Какво още можете да направите?

1. Дори сайтовете, които посещавате да не са засегнати, добра идея е да смените паролите си. Наскоро бяха откраднати над 10 милиона пароли от Adobe (03.11.2013), това се случва всекидневно.

2. Не използвайте една и съща парола за всички пощенски кутии и сайтове.

3. Избягвайте пароли от типа qwerty или p@ssw0rd.

4. Посещаването на сайтове с чувствителна информация от обществени места като киберкафета или общественодостъпни Wi-Fi точки не е добра идея.

5. Следете кореспонденцията си и особено финансовите транзакции. SMS уведомяването за извършени преводи е добра идея. Двуфакторната потвърждение, чрез парола и чрез генериран в момента код, изпращан от финансовата институция чрез SMS или чрез персонално устройство (напр. U-Code на ОББ), е силно препоръчително.

Според Robin Seggelmann това е просто грешка, която за жалост засяга много чувствителна област и „обичайните заподозрени“ US National Security Agency (NSA) и другите разузнавателни служби не са замесени. Дали?

Източници:

How Heartbleed Bug Exposes Your Passwords to Hackers

How to Protect yourself from “Heartbleed” Bug

Heartbleed - OpenSSL Zero-day Bug leaves Millions of websites Vulnerable

German Developer responsible for HeartBleed Bug in OpenSSL

ПИБ е била засегната от Heartbleed

         NSA denies Report that Agency knew and exploited Heartbleed Vulnerability

         Heartbleed – What Can You Do To Stay Safe?