Теги → heartbleed

Google применила свою технологию для защиты Chrome от уязвимостей вроде Heartbleed

В прошлом месяце Google официально представила собственную модификацию криптографического пакета OpenSSL, которая получила имя BoringSSL. Дело в том, что Google давно использует в своих продуктах версию OpenSSL с целым рядом (около 70) собственных дополнений и заплаток, которые становилось всё труднее поддерживать. Обнаружение опасной уязвимости Heartbleed в OpenSSL подвигло Google представить официальную модификацию, которая будет развиваться параллельно.

Теперь Google использовала BoringSSL в последней сборке открытого браузера Chromium — со временем это новшество затронет и официальный браузер Chrome. Кстати, во время анонса BoringSSL поисковый гигант отметил, что он не стремится заменить OpenSSL, и все будущие исправления будут отправляться разработчикам оригинального криптографического пакета.

Напомним: в апреле широкой публике стало известно, что в некоторых версиях чрезвычайно популярного криптографического пакета OpenSSL была обнаружена критическая уязвимость Heartbleed, позволяющая в теории получать данные в незашифрованном виде. Это подняло серьёзные вопросы о безопасности Сети, ведь едва ли не две трети всех сайтов, работающих через HTTPS-соединения, используют OpenSSL. Чуть позже журналисты сообщили, что спецслужбы США могли знать о Heartbleed и пользоваться уязвимостью. Стоит отметить, что и сейчас Heartbleed остаётся важной проблемой — в частности, некоторое сетевое оборудование нуждается в обновлении прошивки. Подробнее об уязвимости можно прочесть в материале Игоря Осколкова «OpenSSL — рыцарь Кровоточащее Сердце» в разделе Offсянка.

Обнаружена и устранена ещё одна уязвимость в OpenSSL

С момента обнаружения критической уязвимости Heartbleed в OpenSSL прошло не так уж много времени, и вот уже поступают сообщения об обнаружении новой «дыры» в безопасности криптографического пакета с открытым кодом. Недавно обнаруженная и уже исправленная ошибка в коде позволяла злоумышленнику отслеживать перемещение пакетов с данными между OpenSSL-клиентом и OpenSSL-сервером. Правда, коснуться эта проблема могла лишь ограниченного круга пользователей OpenSSL определенной версии. Уязвимость была обнаружена ещё в мае исследователем в вопросах безопасности Масаши Кикути (Masashi Kikuchi). В так называемой группе риска оказываются все стороны клиента/сервера с предустановленной OpenSSL версий 1.0.1 или 1.0.2-beta1. Поэтому говорить о важности обновлений в таком случае не приходится.

Конкретно насчет данной недоработки в системе безопасности криптографического пакета нужно знать вот ещё что. Если вы используете настольные версии браузеров Internet Explorer, Chrome и Firefox, то проблема точно обойдет вас стороной — тут больше должны волноваться системные администраторы. Примечательно, что с момента обнаружения предыдущей «дыры» в безопасности прошло совсем мало времени. Это, как минимум, означает, что теперь технология находится под пристальным вниманием соответствующих специалистов.

Новая статья: OpenSSL — рыцарь Кровоточащее Сердце

Данные берутся из публикации OpenSSL — рыцарь Кровоточащее Сердце

Ведущие IT-компании объединились в поддержке критических важных проектов Open Source

Linux Foundation заявила о создании нового проекта, цель которого — поддержка и финансирование критически важных технологий с открытым исходным кодом. Проект Core Infrastructure Initiative призван помочь технологическим компаниям совместно определять и финансировать важные для всей индустрии проекты Open Source, которые нуждаются в помощи. При этом разработчики смогут по-прежнему работать в рамках принципов сообщества Open Source, которые позволили сделать концепцию успешной.

Среди членов-основателей Core Infrastructure Initiative присутствуют такие громкие имена, как Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и The Linux Foundation. Первый проект, который закономерно должен получить новый приток финансирования и помощь, станет криптографический пакет OpenSSL. Ключевые разработчики должны получить достойную оплату труда и другие ресурсы, которые помогут улучшать безопасность: код будет проверяться сторонними специалистами, а реагирование на запросы по исправлению ошибок станет оперативнее.

Вообще импульсом к созданию проекта, в рамках которого предполагается привлечь многомиллионные инвестиции, стал кризис в IT-безопасности и сетевой инфраструктуре, порождённый критической уязвимостью Heartbleed в криптографическом пакете OpenSSL и затронул огромное количество компаний и ключевых веб-служб.

Управлять инициативой будет Linux Foundation, ключевые разработчики Open Source и особая группа, составленная из представителей основных инвесторов. В рамках проекта предполагается финансирование постоянной занятости ключевых разработчиков Open Source, ревизии кода, предоставление вычислительной и тестовой инфраструктуры, финансирование командировок, встреч и другие способы поддержки.

Кроме OpenSSL ключевыми проектами, которые могут рассчитывать на внимание новой организации, являются, например, ядро Linux, а также различные технологии, напрямую относящиеся к безопасности, защите и интернет-финансам. В общем, инвестиции будут направляться прежде всего на те технологии, в развитии и стабильности которых заинтересованы все участники технологической отрасли.

Исторически проекты, разрабатываемые в рамках концепции Open Source, отличаются высокими показателями качества и безопасности. Например, последнее исследование качества программного обеспечения Coverity Open Scan выявило, что ПО Open Source отличается более качественным исходным кодом по сравнению с проприетарным. Но программное обеспечение становится всё более сложным. Кроме того, многие ведущие компании используют разработки Open Source для создания своих новаторских продуктов. Поддержка и развитие проектов с открытым исходным кодом становится всё более сложной задачей, поэтому повышается и необходимость в помощи разработчикам со стороны крупных компаний. Кстати, сделать вклад в фонд Core Infrastructure Initiative может каждый через официальный сайт проекта.

В Канаде за использование уязвимости Heartbleed арестован студент

Недавно стало известно о том, что эксплуатация уязвимости Heartbleed повлекла за собой арест 19-летнего жителя Канады. Студент факультета информатики одного из местных университетов был пойман при попытке перехватить трафик веб-сайта налогового ведомства Canada Revenue Agency (CRA). Стивену Артуро Солис-Рейесу (Stephen Arthuro Solis-Reyes) из канадского Лондона инкриминировано неправомерное использование компьютера и повреждение данных. Об этом сообщает PCmag.

Представитель налогового ведомства Канады Эндрю Трьош (Andrew Treusch) заявил, что на протяжении 6 часов из систем CRA были удалены номера социального страхования приблизительно 900 человек.

По словам еще одного сотрудника CRA Жиля Мишо (Gilles Michaud), полиция отнеслась к данному взлому со всей возможной серьезностью, мобилизовав необходимые ресурсы для устранения угрозы.

Как оказалось, накануне этой атаки случился еще один взлом, который привел к отключению серверов ведомства, и также эксплуатировал уязвимость Heatbleed.

После обыска в доме подозреваемого представители властей конфисковали его компьютер. Судебное слушание по делу Солис-Рейеса назначено на 17 июля этого года. Все лица, которые пострадали от взлома, получат письмо с уведомлением, а остальные клиенты CRA могут рассчитывать на дополнительную защиту.

Вероятно, это далеко не единственная атака на государственную или частную организацию с использованием уязвимости Heartbleed.

window-new
Soft
Hard
Тренды 🔥
Microsoft купила ZeniMax Media и Bethesda Softworks, разработчика и издателя The Elder Scrolls, Fallout, DOOM и других серий 16 мин.
Октябрьский релиз ремастера трилогии Mass Effect предсказал ещё один интернет-магазин 22 мин.
Microsoft заменила проблемное обновление Windows 10, которое снижало производительность ПК 2 ч.
Трейлер Poison Control: геймплей ролевого боевика и выход на Западе в начале 2021 года 2 ч.
Сроки эмбарго, пострелизный контент и геймплейные механики: в Сеть просочились новые подробности Serious Sam 4 2 ч.
Минэкономики займётся отслеживанием работы IT-стартапов, которые получат господдержку 2 ч.
WhatsApp позволит подключать несколько устройств к одной учётной записи 3 ч.
Игра с тысячей секретов: в RDR 2 обнаружили скрытую сценку, в которой Артур выбивает информацию 4 ч.
За три дня раздачи Football Manager 2020 в EGS игру забрали более миллиона человек 4 ч.
Еженедельный чарт Steam: Fall Guys: Ultimate Knockout уступила первое место Among Us 4 ч.
Huawei представит четыре флагманских смартфона в семействе Mate 40 40 мин.
Qualcomm ищет альтернативу китайской SMIC, над которой нависла угроза санкций США 45 мин.
Несмотря на банкротство OneWeb, её интернет-спутники отправятся в космос в декабре с Восточного 2 ч.
GeForce RTX 3090 оказалась почти на четверть быстрее GeForce RTX 3080 в рендеринге 2 ч.
PlayStation 5 разойдётся 200-миллионным тиражом за время своего существования. Почти вдвое лучше PS4 2 ч.
В ассортименте Huawei появятся изогнутые и плоские игровые мониторы на китайских матрицах 2 ч.
Xiaomi придумала гибрид смартфона и планшета с гибким экраном, который складывается дважды 2 ч.
Разборка видеокарты Gigabyte GeForce RTX 3090 Eagle OC показала почти эталонную печатную плату 2 ч.
Для твердотельного накопителя ADATA XPG Gammix S70 с PCIe 4.0 заявлена скорость до 7400 Мбайт/с 3 ч.
Смартфон Realme Narzo 20 Pro получил квадрокамеру, 90-Гц экран и быструю 65-Вт зарядку. Цена — всего $200 4 ч.