«Ради проверки мы решили взломать сами себя, — рассказывает Мехта. — Мы смогли получить секретные ключи, используемые для сертификатов X.509, имена пользователей и их пароли, перехватить мгновенные сообщения и электронные письма, прочесть критически важные для бизнеса документы».
Патч для OpenSSL был выпущен Ником Салливаном (Nick Sullivan) — системным программистом компании CloudFlare. Ему помогали программист Google Адам Лэнгли (Adam Langley) и советник по безопасности The OpenSSL Project Бодо Мюллер (Bodo Moeller).
Наиболее важная часть исправлений коснулась добавления проверки длины полезной нагрузки.
/* Read type and payload length first */ if (1 + 2 + 16 > s->s3->rrec.length) return 0; /* silently discard */
Они же придержали опубликование официального бюллетеня с описанием ошибки до её исправления. Однако по результатам своих исследований группа Мехта вынесла крайне неутешительный прогноз: поскольку уязвимость существовала давно и факты о её эксплуатации получить невозможно, её уже могут скрыто использовать для получения несанкционированного доступа и создания других обходных путей на будущее. Поэтому, считают эксперты Google, проблема НСД останется актуальной даже после установки патча.
Пока в бюллетене и распространённых информационных сообщениях официально советуют предпринять следующие шаги:
установить исправленную версию OpenSSL 1.0.1g или 1.0.2-beta2 либо перекомпилировать пакет OpenSSL с ключом OPENSSL_NO_HEARTBEATS;
перевыпустить SSL-сертификат;
использовать приманки (honeypot), имитирующие наличие серверов с уязвимым пакетом OpenSSL, и проверять подключения к ним.
Уроки «кубинского Твиттера»: кто на самом деле стоит за Facebook, Google, другими ИТ-гигантами?
Евгений Золотов
Опубликовано 07 апреля 2014
Я скептически отношусь к разделяемой многими конспирологической теории о «правительственном следе в родословной ИТ-гигантов». Подозревать Facebook или Google в том, что они появились на свет как тайный проект американских спецслужб для глобальной слежки, подозревать в том же, но с китайской стороны, Huawei Technologies кажется мне не столько глупым, сколько бесполезным. Какой прок от таких рассуждений, что практически полезного можно из них вынести? Разве что потешить самолюбие. Граничащее же с паранойей любопытство способно завести ой как далеко — и совсем недавно все желающие могли убедиться в этом на примере уже упомянутой Huawei: какие-токак оказалось, пытаясь найти хоть доказательства вины, американские «партнёры» сами прибегали к грязным методам шпионажа.
Другой разговор, если подозрения подкрепляются фактами. Из этого уже можно извлечь кое-что ценное. Примером такой истории способен послужить разгорающийся сейчас скандал вокруг «кубинского Твиттера» ZunZuneo.com. В четверг агентство Associated Press обнародовало результаты своего расследования: документы и рассказы участников неопровержимо свидетельствуют о шпионской сути этого проекта.
Впрочем, прежде чем рассказать о ZunZuneo, стоит пояснить, какова ситуация с интернетом и персональными коммуникациями на Кубе. Остров Свободы остаётся одним из немногих регионов на Земле, где нищета населения, правящий режим и международные санкции (в данном случае на импорт телекоммуникационных и компьютерных технологий) свели пользование цифровой техникой практически к нулю. Согласно неофициальной статистике, в лучшем случае каждый третий кубинец имеет формальный интернет-доступ, на самом же деле речь идёт всего лишь о национальном интранете — доступом же в настоящую Глобальную сеть наслаждаются лишь некоторые госслужащие да туристы. Простые кубинцы могут подключиться к «внешке» только нелегально, заимев спутниковый телефон либо приобретя временный доступ у коррумпированных чиновников. Но, поскольку с компьютерами ситуация такая же аховая, а услуга мобильного доступа в интернет то ли не предоставляется (что там, до 2008 года даже мобильные телефоны сами по себе были запрещены!), то ли слишком дорога, практически единственной формой персональных коммуникаций для простых граждан Кубы остаётся СМС (тоже, кстати, не задёшево).