Heartbleed

Материал из Викиреальностя
Перейти к: навигация, поиск
Логотип Heartbleed

Heartbleed (CVE-2014-0160) — значительная ошибка в реализации операций с памятью в OpenSSL, позволяющая получить доступ к памяти машины.

Содержание

[править] Описание

Введена в OpenSSL в 2011 г., в стабильные версии внесена в 2012 г., найдена и исправлена только в 2014 г. Ошибка позволяла получить до 64 Кб памяти приложения с каждым запросом, что позволяло потенциально извлечь находящиеся в памяти закрытые ключи, cookie и иные данные. Подвержены атаке (при включенном расширении Heartbeat):

  • OpenSSL 1.0.2-beta
  • OpenSSL 1.0.1 — OpenSSL 1.0.1f

CloudFlare разослал пресс-релиз, в котором заявил о защите сайтов на CloudFlare от уязвимости.

Потенциально проблемой затронуто несколько миллионов веб-сайтов. Интернет-гиганты, такие как Google, Facebook и др. заявили, что не обнаружили использования уязвимости в целях взлома их серверов и предложили не беспокоиться. Ряд малых сайтов посоветовали сменить все пароли на всех сайтах, также владельцам сайтов было предложено сбросить все cookie.

В проектах Фонда Викимедиа зарегистрированным участникам также было рекомендовано изменить пароли[1].

[править] Интересные факты

  • Heartbleed — одна из первых уязвимостей, получившая собственный логотип.
  • Название Heartbleed происходит от расширения Heartbeat, в котором содержалась ошибка.

[править] Примечания

  1. Обращение Викимедиа по поводу уязвимости безопасности из-за ошибки «heartbleed»

[править] Ссылки

Heartbleed относится к теме «Информационная безопасность»   ±
Защита информации
[править]
МетаЗащита информацииАвторизацияЗакрытое аппаратное обеспечениеИдентификация пользователей в ИнтернетеИнформационные войскаИнформационный суверенитетIT-войска
I2PI2P-BoteТуннелированиеУстановка и настройка
SSHЗащитаСмена портаОграничение количества подключений в iptablesОтключение логина root
Анонимайзеры и сайты для обеспечения анонимностиaltvpn.comAnonymouse.orgCameleo.ruHideME.ruKalarupa.comNewIPNowproxy-onedash.ruproxywhite.comRelakks.comSpys.oneFineproxy.org
Анонимные сетиBitcoinI2PTORRetroShareNetsukuku (проект) • Waves
Сокрытие персональных данныхАнонимАнонимностьАнонимные виртуальные карты платёжных системКлоакМаскировка XFFX-Originating-IPМаскировка юзерагентаПриватность ВКонтактеПрокси-сервер (открытый, закрытый, приватный, выходной) • AnonymoxVIPoleVPNBestMixer.io
ИнцидентыDDoS-атаки в 2011 годуHeartbleedАппаратные закладки в IntelЗапрет анонимности в российском ИнтернетеИндексация Яндексом личной информацииПопадание SMS от МегаФона в ЯндексРазоблачения СноуденаТест на безопасность ВКонтактеТроянская программа в русской ВикипедииУпрощённая идентификацияУязвимость CAT5Фишинговая атака на Живой ЖурналХакерские атаки на сайт Лиги безопасного интернета
Инструменты и методы взлома и атакиDDoSDeepFakePRISMБотнетБрутфорсВишмастерДеанонимизацияИмперсонацияЗловредИнъекция SQL-кодаКиберсквоттингКомпьютер-зомбиКрякВирус-майнерОшибочное делегирование прав доступаСмерть iPhoneСоциальная инженерияТроянФейк (Фейк-ньюс) • ФишингPetya.ASkygofreeTrojan.Encoder
Инструменты и методы защитыCensureBlockCharles Web Debugging ProxyCloudFlareDDoS-Guard.netSOCKS-проксиSMS-подтверждение (в Яндекс. Деньгах) • SSL-сертификатTorBlockЗащита интернет-кошелькаЗащита в OpenBSDИнтернет-мониторингКапча (китайская, матановая, KCaptcha, ReCAPTCHA) • Код подтвержденияКонтрольный вопросНедопустимость открытых проксиОтключение Рунета от глобальной сетиПароль (Сложный парольГенератор паролейПлатёжный пароль (Яндекс.Деньги)) • Резервное копирование (gmail) • Сайты для получения данных пользователем о себеСокрытие персональных данныхСОРМ-2Средства предотвращения взломаФильтрация входящего трафика
ХакерыКиберБеркутСирийская Электронная АрмияХакерская ценностьХэллШалтай-Болтай
ПерсоныЕвгений КасперскийКибердедЕвгений Царёв
СайтыAntichatinfobezopasnost.ruSuip.bizVirusdie
ИсследованияБольшой брат следит за тобойИспользование прокси в википроектахЦифровой концлагерь
Источник — «http://wikireality.ru/w/index.php?title=Heartbleed&oldid=358513»