Свыше 300 000 серверов не устранили уязвимость Heartbleed
Два месяца назад весь Интернет шокировала новость о затрагивавшей 2/3 сайтов уязвимости в протоколе OpenSSL, получившей название Hearbleed. По прошествии времени страсти в СМИ улеглись, тем не менее, как выяснилось, свыше 300 000 серверов по-прежнему не получили "заплатки".
Напомним, ПО с открытым исходным кодом OpenSSL используется большинством сайтов, в том числе крупнейшими, для шифрования коммуникаций пользователей. Yahoo является крупнейшим сайтом из тех, которые точно были подвержены уязвимости. В то же время, Google, Microsoft, Twitter, Facebook, Dropbox и ряд других крупных сайтов ее избежали. Всего OpenSSL используют около 2/3 серверов в Интернете.
Как отмечает исследователь Роберт Дэвид Грехам, он обнаружил по меньшей мере 309 197 серверов, по прежнему уязвимых к Heartbleed. Напомним, что непосредственно после обнаружения уязвимости количество подверженных ей серверов составляло около 600 000. Таким образом, за два месяца масштаб проблемы уменьшился вдвое, но по-прежнему остается катастрофическим. Грехам обнаружил, что в последние месяцы активность по исправлению Heartbleed существенно снизилась. Эксперт отмечает, что это связано с нежеланием небольших сайтов беспокоиться о безопасности.
Уязвимость позволяет перехватывать часть данных из памяти сервера, в которой могут оказаться любые персональные данные, включая пароли и номера кредитных карт. Кроме того, Heartbleed теоретически позволяет злоумышленникам завладеть копиями цифровых ключей шифрования сервера, чтобы затем создать его фальшивую копию или расшифровать коммуникации с этим сервером, в том числе имевшие место в прошлом.
С точки зрения серьезности уязвимости - то есть потенциальных возможностей, которые она дает в руки хакерам - и огромного числа подверженных ей серверов, Heartbleed является крупнейшей угрозой такого рода, обнаруженной за последние годы. Что еще хуже, "дыра" оставалась открытой очень долго - появилась она, по словам исследователей, около двух лет назад.
"Дырявыми" оказались миллионы Android-смартфонов, а также множество роутеров.
Роггер Сегельман, формально ответственный за появление самой крупной угрозы безопасности Интернету, свою вину отрицает.