Американското правителство предупреди в петък банките и други компании да бъдат в готовност за хакери, които искат да откраднат данни, изложени на риск от Heartbleed-уязвимостта, след като немски програмист пое отговорността за широкоразпространената криза в сигурността.
На интернет страницата за консултиране на критични инфраструктурни оператори за нововъзникващите кибер заплахи , Министерството на вътрешната сигурност помоли организациите да докладват всякакви атаки, свързани с Heartbleed и добави, че хакерите се опитват да се възползват от грешка в широко използвания OpenSSL код чрез сканиране на целеви мрежи.
Федералните регулатори също съветват финансовите институции да обезопасят и тестват своите системи, за да се уверят, че те са безопасни.
OpenSSL е широко използвана open-source технология за криптиране на съобщения, включително достъп до електронна поща. Технологията се използва и в сайтове на големи интернет компании като Facebook, Google и Yahoo.
Дупката в сигурността, за която стана ясно в понеделник, позволява на хакерите да получат достъп до данни, без да оставят следа. Няма организация, която да е обявила, че е жертва на атака, но компаниите, занимаващи се с интернет сигурност, твърдят, че виждат добре известни хакерски групи, които сканират мрежата в търсене на уязвими мрежи.
"Въпреки че към момента няма докладвани атаки или инциденти, свързани с тази конкретна уязвимост, все още е възможно злонамерени лица в киберпространството да се възползват необезопасени системи", казва Лари Зелвин, директор на департамент за национална киберсигурност към Хоумланд Секюрити, в блог пост на сайта на Белия дом.
Германското правителство, цитирано от Вашингтон, описва дупката в сигурността като "критична".
Технологичните компании цяла седмица търсят уязвимости навсякъде, където е интегриран OpenSSL кодът, включително в мейл сървърите, обикновените компютри, телефоните и дори продуктите за сигурност. Компании като Cisco, IBM, Intel, Juniper Networks, Oracle и Red Hat предупредиха клиентите си, че може да бъдат изложени на риск. Някои актуализации вече са налични за потребителите, докато други все още са в процес на разработка.
Това означава, че някои мрежи са уязвими на атака, каза Kurt Баумгартнер, изследовател в Kaspersky Lab. Той казва, че е виждал няколко мрежи с големи потребителски бази данни, които все още не са обезопасени. Допълва, че проблемът е труден за решаване.
OpenSSL софтуерът помага за криптиране на трафика с цифрови сертификати и "ключове", които пазят информацията сигурна, докато тя е се използва в Интернет и в корпоративни мрежи.
Уязвимостта е останала незабелязана в продължение на няколко години, така че експертите се опасяват, че хакерите вероятно са откраднати част от сертификатите и ключове, които правят данните уязвими за шпионаж.
Comodo Group, вторият най-популярен доставчик на SSL сертификати, казва, че имат десетки хиляди запитвания за заместител на OpenSSL от клиенти тази седмица.
Поемането на отговорност
Robin Seggelmann, немски програмист, който доброволно работи като разработчик в екипа OpenSSL, казва в блог пост, публикуван в петък, че докато е работел по научен проект в университета в Мюнстер, е внедрил зловреден код, отговорен за уязвимостта.
"Не успях да проверя дали една определена променлива, единица за дължина, съдържа истинска стойност. Това причини проблема, наречен Heartbleed", каза Seggelmann, сега служител с германския телекомуникационен оператор Deutsche Telekom AG.
Той казва, че разработчика, който е прегледал кода не е успял да забележите бъга, който позволява на хакерите да откраднат данни, без да оставят следа." Невъзможно е да се каже дали тази уязвимост, която след това беше идентифицирана и отстранена, е била използвана от разузнавателните служби или други страни", каза той.
Seggelmann казва, че такива грешки могат да бъдат избегнати в бъдеще, ако OpenSSL получи по-голяма подкрепа от страна на разработчиците в цял свят.
OpenSSL е проект с отворен код , което означава, че се поддържа от разработчиците по цял свят, които доброволно актуализират и подсигуряват кода. Той не е толкова добре поддържан, както други проекти, като Linux например, който е широко подкрепян от процъфтяваща общност от разработчици по целия свят, както и от корпоративни поддръжници.