Неужели Интернет «сломался»? По мнению некоторых, возможно. Все больше шума поднимается вокруг ошибки, которой дали название Heartbleed: лавина публикаций о ней растет, причем не только в технических, но и в общих СМИ.
Что делать?
Иногда трудно пробраться сквозь потоки технической информации, чтобы понять, что же нужно делать. Так что вместо повторения того, что уже сформулировано другими, просто перечислим пять шагов, которые нужно предпринять прямо сейчас в организациях, и три действия, о выполнении которых стоит подумать каждому.
Что на кону?
Доверие. Протокол Transport Layer Security (TLS) широко используется для шифрования информации при передаче. Ошибка Heartbleed позволяет атакующему получить доступ к памяти сервера и извлечь из нее то, что там может находиться: имена, пароли, информацию о банковских картах и даже закрытый ключ цифрового сертификата. В Канаде, к примеру, из-за Heartbleed остановили онлайн-сервис налоговой службы, при том что последний срок подачи деклараций в стране — 30 апреля.
Возможно, на кону также ответственность.
В связи с Heartbleed американские регуляторы потребовали от банков, чтобы те предлагали своим клиентам менять пароли.
Есть вероятность, что организации, которые сейчас не примут меры, в дальнейшем понесут ответственность, хотя с уверенностью об этом говорить еще рано. В любом случае лучше перестраховаться и последовать советам ниже.
Каковы разумные сроки реагирования?
Это зависит от размера вашей организации и объема ее трафика. Большие сайты с интенсивным трафиком уже должны быть обновлены.
В организациях меньших размеров на оценку ситуации и принятие мер может уйти больше времени. Если ваш сайт администрирует сторонняя организация, важно, чтобы в ней выполнили описанные выше шаги.
На отзыв и повторную выдачу сертификатов может уйти от нескольких дней до недель.
Помните, что в любом случае необходимо провести ревизию партнерских и взаимосвязанных систем.
Как объяснить другим, что такое Heartbleed
Объяснить необходимость защитных мер в связи Heartbleed может быть непросто. Ведь большая часть советов сводится к тому, что люди привыкли слышать последние десятилетия, то есть «меняйте пароли, не нажимайте на подозрительные ссылки, будьте внимательны в Интернете»; это воспринимается как «фоновый шум» и пропускается мимо ушей. Кроме того, учитывая шумиху, поднявшуюся вокруг Hertbleed, кто-то может не воспринимать угрозу всерьез.
Помимо указания на необходимость сменить пароль, нужно подчеркнуть, почему это важно сделать только после смены сертификата сайта. Разъясните основы TLS, способ проверки сертификатов в браузере и причины ее необходимости. Объясните, почему имеет смысл вручную набирать адреса при неуверенности в надежности сайта.
Что дальше?
Когда шум вокруг Heartbleed утихнет, предстоит переоценка проблем и перспектив. Вероятно, в частности, понадобятся дискуссии на темы доверия и контроля подлинности в Интернете, отзыва сертификатов, а также потенциальной потребности во внедрении протоколов совершенной прямой секретности и в пропаганде более широкого применения двухфакторной аутентификации.
Действия для каждого
ПРОВЕРЬТЕ САЙТЫ НА УЯЗВИМОСТЬ.
Хотя, согласно множеству публикаций, ошибка потенциально затрагивает две трети всех серверов с выходом в Интернет, на некоторых сайтах OpenSSL все же не используется, и у них данной уязвимости может не быть. Один из способов проверить — провести тест с помощью плагина для браузера (веб-поиск сразу выдает два-три популярных варианта). Существующие на сегодня плагины обычно проверяют, используется ли на сайте OpenSSL и установлена ли заплата, но не все из них выясняют, был ли перевыпущен сертификат. Можно также найти перечни крупных сайтов, на которых заплаты уже установлены.
ПРОВЕРЬТЕ, ОБНОВЛЕН ЛИ СЕРТИФИКАТ САЙТА. Даже если сайт прошел проверку на наличие заплаты, необходимо еще выяснить, перевыпущен ли его SSL-сертификат; в любом браузере это делается за один-два щелчка.
ИЗМЕНИТЕ ВАШИ ПАРОЛИ. Не попадитесь на удочку фишинговых сообщений электронной почты, маскирующихся под уведомления об изменении пароля в связи с Heartbleed. Если не уверены, набирайте адрес сайта из сообщения вручную. Если вы пользовались одними и теми же паролями на нескольких сайтах, то сменить их нужно везде.
В КАКИЕ СРОКИ ПРИНИМАТЬ ПЕРСОНАЛЬНЫЕ МЕРЫ? Было бы разумно расставить приоритеты в зависимости от сайта. В первую очередь нужно проверить все, на которых хранится финансовая информация. Можно предположить, что в предстоящие несколько недель большинство сайтов перевыпустят свои сертификаты, и после этого надо будет сменить пароли на всех сайтах.
Пять мер, которые нужно предпринять немедленно
1 ПРОВЕРЬТЕ НА ОШИБКУ ВАШИ СИСТЕМЫ — НЕ ТОЛЬКО ВЕБ-СЕРВЕРЫ. Ошибка присутствует в реализации криптографического протокола TLS с расширением Heartbeat («сердечный ритм», протокол проверки доступности ресурса; отсюда название ошибки Heartbleed — «сердечное кровотечение»). В первой волне публикаций о Heartbleed в качестве потенциальных жертв называли огромное число серверов в Интернете, пользующихся программным обеспечением OpenSSL, в котором и присутствует ошибка. Допущена она была еще больше двух лет тому назад, но обнаружили ее только сейчас. По последним сообщениям, брешь также имеется в аппаратном и программном обеспечении целого ряда коммерческих и открытых решений, включая маршрутизаторы, виртуальные серверы и популярные программы наподобие Tor. Можно предположить, что уязвимость будет найдена и в других системах, включая, возможно, АСУ ТП. Поэтому проинспектируйте различные элементы вашей сети, систем и решений. В некоторых случаях использование OpenSSL может быть неочевидным. Если сомневаетесь, тестируйте. При тестировании какой-либо системы проверяйте связанные с нею.
2 УСТАНОВИТЕ ЗАПЛАТЫ ВЕЗДЕ, ГДЕ ЭТО ВОЗМОЖНО. В большинстве серверов с выходом в Интернет предусмотрены средства установки заплат, и для большинства заплаты, устраняющие Heartbleed, уже подготовлены. После установки заплат проведите тесты еще раз, чтобы убедиться в их действенности.
3 SSL-СЕРТИФИКАТЫ НАДО ОТОЗВАТЬ, ПЕРЕВЫПУСТИТЬ И УСТАНОВИТЬ ЗАНОВО. Этот шаг легко упустить, но он обязателен. Пока не будут отозваны и перевыпущены сертификаты, проблема не устранена.
4 ОЦЕНИТЕ СИТУАЦИЮ. Если у вас сохранялись протоколы работы TLS, просмотрите их на признаки компрометации. Если протоколов нет, оцените, нужно ли менять пароли, и подумайте, каким образом это лучше сделать. Оцените, какая информация могла быть скомпрометирована.
5 ЧЕТКО И ОТКРЫТО ОБЪЯСНИТЕСЬ СО СОТРУДНИКАМИ, ПАРТНЕРАМИ И КЛИЕНТАМИ. Разъясняя ситуацию, перечислите предпринятые вами меры, обязательно подчеркнув, что вы отозвали и заменили сертификаты. Объясните потенциальные последствия. «В связи с Heartbleed есть большая вероятность волны фишинговых сообщений якобы от легитимных организаций, адресованных клиентам и содержащих ссылки на фальшивые сайты, собирающие верительные данные, — отмечает Джейсон Сороко, директор Entrust по исследованиям вредоносных программ. — Поэтому в реальных сообщениях о необходимости изменения пароля попросите клиентов набирать адрес вашего сайта вручную, и как минимум не маскируйте его, как это обычно делается в фишинговых письмах».