Цифровой журнал «Компьютерра» 2014 № 16 (221) - страница 15
Во-вторых, носимые компьютеры, представляя собой принципиально новый для обывателя класс устройств, да ещё такой инвазивный (сопровождающий человека повсюду, знающий всё обо всём), гарантированно породят новые информационные риски. Кажется парадоксальным, что мы больше знаем и говорим об угрозе со стороны ещё даже не продающихся киберочков (три четверти обывателей уже не желают иметь с ними дела из-за их способности снимать происходящее «исподтишка» и раздражать окружающих), нежели со стороны тех же трекеров. А ведь даже самый простой трекер способен многое порассказать о своём хозяине.
Наконец, в-третьих, будьте готовы к смене лидеров и неизбежной психологической ломке. Вчера публика верила IBM и Microsoft, сегодня в фаворе Apple и Google, завтра их место займёт Samsung: опросы уже сейчас показывают, что пользователи носимых компьютеров считают южнокорейского гиганта заслуживающим наибольшего доверия.
О Heartbleed человеческим языком: пять самых важных вопросов
Евгений Золотов
Опубликовано 14 апреля 2014
Уязвимость в пакете OpenSSL, вскрывшаяся ровно неделю назад, породила настоящий вал публикаций не только в айтишной, но и в популярной прессе. К несчастью, ошибка оказалась нетривиальной, так что в попытке упростить, донести смысл случившегося до обывателя СМИ нагородили опасной ерунды — бумерангом вернувшейся в околокомпьютерную среду. Поскольку проблема так ещё и не устранена, стоит внести ясность. Давайте зададим самые важные вопросы и попробуем дать на них простые правдивые ответы.
И первым вопросом, конечно, будет такой: насколько в действительности опасен баг под названием Heartbleed? Брюс Шнайер, признанный эксперт по криптографии и обычно весьма осторожный в оценках человек, написал буквально следующее: по шкале от 1 до 10 это 11 баллов. Катастрофическая ошибка.
Вопрос второй: в чём она заключается, что именно составляет проблему? Библиотека OpenSSL содержит набор функций, реализующих криптографические протоколы SSL и (что фактически то же самое) TLS. Они помогают скрыть содержимое передаваемых через интернет-соединение данных от посторонних глаз. К примеру, всякий раз, когда в адресной строке браузера светится «HTTPS», это означает, что ваше соединение с веб-сервером защищено с помощью SSL/TLS.
Важно понимать, что OpenSSL — не единственная библиотека, реализующая функции SSL/TLS, но самая популярная. Ведь она развивается под свободной лицензией, так что большинство веб-серверов использует именно её. Важно также, что не все версии OpenSSL содержат ошибку Heartbleed: лишь около полумиллиона серверов эксплуатируют библиотеку уязвимых версий 1.0.1 и 1.0.2beta, тогда как более ранние и более поздние её варианты ошибки не содержат.
Суть проблемы в том, что сервер не проверяет корректность некоторых запросов, поступающих от клиентов. Установив соединение, клиент (не человек, конечно, а программное обеспечение) периодически обращается к серверу с просьбой подтвердить, что соединение ещё не разорвано (эта функция называется heartbeet — «биение сердца»). В ответ сервер должен вернуть некоторый небольшой объём данных, причём количество их определяет сам клиент.
Так вот, если клиент запросит больше данных, чем отправил, дефективная OpenSSL его запрос всё равно удовлетворит — и пришлёт ему кусок из оперативной памяти длиной вплоть до 64 килобайт (отсюда название ошибки: heartbleed — «кровоточащее сердце»). В куске этом, понятное дело, могут находиться сведения, к данному клиенту отношения не имеющие, — например, пароли и логины пользователей, недавно подключившихся к серверу, а также секретный криптоключ, который сервер использует для шифрования соединений.
