"Дыра" в Сети поглотит данные большинства пользователей интернета. Эксперты сообщили о серьезной ошибке в самом распространенном пакете шифрования OpenSSL. Уязвимость дает зеленый свет киберпреступникам, отмечают собеседники радио новостей: теперь мошенники могут беспрепятственно красть личную информацию пользователей, не оставляя следов.
Фото: Павел Кассин, Коммерсантъ / купить фото
Данные большинства интернет-пользователей оказались под угрозой. Эксперты компании Codenomicon обнаружили уязвимость в пакете шифрования OpenSSL, который используют примерно две трети всех сайтов в интернете. "Дыра" в Сети открывает киберпреступникам доступ к огромному количеству закодированной информации, отметил главный редактор журнала "Хакер" Степан Ильин.
"Уязвимость настолько критическая, что она вообще делает саму идею шифрования вредной. Потому что не просто данные могут утечь, а сам протокол шифрования. Вернее, его реализация позволяет прочитать эти данные. В данном случае отсутствие шифрования было бы лучше, чем шифрование с помощью SSL. Более того, эта "дыра" позволяет прочитать память на сервере. С помощью нее можно получить данные с сервера, а это не только логин и пароль, это и сертификаты и многое другое", — пояснил Ильин.
Обнаружить утечку из-за этой уязвимости невозможно, потому что такой метод взлома не оставляет следов, сообщил гендиректор компании ISM Systems Александр Бондаренко.
"Предположим, вы отправляете какую-то секретную информацию в конверте, и его по мере доставки адресату просветили где-то, просмотрели, что вы там внутри написали, и этим каким-то образом потом воспользовались. А сам по себе конверт никак не вскрыт, и ни отправитель, ни получатель не может определить, что эту информацию кто-то вскрыл и получил к ней доступ. При этом информацией смогли воспользоваться для своих целей. Выявить это абсолютно невозможно. Тем более, в современных условиях передачи информации, когда канал связи между вами и соседним домом может проходить через другое государство", — сказал Бондаренко.
Последствия этой ошибки будут давать о себе знать еще очень долго, уверен консультант по интернет-безопасности компании Cisco Алексей Лукацкий.
"На сегодняшний день это достаточно большое количество ресурсов, в том числе, и интернет-магазины, и интернет-банки. Разработчики объявили, что они выпустили новую версию, которая не содержит данные "дырки", и рекомендовали всем тем, кто использовал предыдущую версию, заменить ее на новую. Но владельцы интернет-сайтов очень заторможено подходят к рекомендациям разработчиков. Поэтому в течение нескольких месяцев в интернете будет находиться огромное количество незримых ресурсов, которые могут быть подвержены атакам со стороны злоумышленников. Со стороны пользователей здесь, к сожалению, сделать ничего нельзя. Можно только со стороны владельца сайта", — объясняет Лукацкий.
Об обновлении пакета OpenSSL, в котором обнаружили опасную ошибку, уже заявили представители нескольких крупнейших ресурсов, в частности, Yahoo! и Amazon.