Подробный анализ, проведенный экспертами по кибербезопасности из Университета Мэриленда, показал, что администраторы веб-сайтов по всей стране, которым поручено залатать дыры в безопасности, используемые ошибкой Heartbleed, возможно, сделали недостаточно.
Впервые обнародованная в апреле 2014 года, Heartbleed представляет собой серьезную уязвимость в популярном программном обеспечении OpenSSL (Secure Sockets Layer), позволяющую любому пользователю Интернета читать память систем, скомпрометированных вредоносной ошибкой.
Ассистент научного сотрудника Дэйв Левин и доцент кафедры электротехники и вычислительной техники Тудор Думитрас были частью группы, которая проанализировала самые популярные веб-сайты в Соединенных Штатах (было изучено более миллиона сайтов), чтобы лучше понять масштабы какие системные администраторы следовали определенным протоколам, чтобы решить проблему.
Левин и Думитрас работают в Центре кибербезопасности Мэриленда, одном из 16 центров и лабораторий Института перспективных компьютерных исследований Университета Мэриленда.
Их команда, в которую входили исследователи из Северо-восточного университета и Стэнфордского университета, обнаружила, что, хотя примерно 93 процента проанализированных веб-сайтов правильно установили исправления для своего программного обеспечения в течение трех недель после объявления Heartbleed, только 13 процентов приняли другие меры безопасности. необходимо сделать системы полностью безопасными.
Как только Heartbleed был обнародован, по словам Левин, администраторы веб-сайтов во всем мире должны были немедленно предпринять три шага, чтобы восстановить лучший контроль и безопасность своих систем.
«Им нужно было исправить свое программное обеспечение OpenSSL, им нужно было отозвать свои текущие сертификаты и им нужно было повторно выпустить новые», - говорит он.
Исправление, отзыв и повторный выпуск являются элементами PKI или инфраструктуры открытых ключей, которая позволяет браузерам и операционным системам проверять, взаимодействуют ли они с подлинным веб-сайтом, а не с злоумышленником, который маскируется под веб-сайт в для получения конфиденциальной информации о пользователе.
Но без отзыва и перевыпуска злоумышленники, у которых уже есть закрытый ключ веб-сайта, могут выдавать себя за этот веб-сайт, даже если администратор правильно исправил их программное обеспечение.
"Многим кажется, что если они перевыпустят сертификат, это решит проблему, но на самом деле атака остается возможной, как и раньше. Значит, нужно и перевыпустить, и отозвать сертификаты," - говорит Думитрас.
Проведенный командой анализ данных также выявил интересную тенденцию, указывающую на роль, которую люди играют в этих сложных системах безопасности, говорит Думитрас. На графике, показывающем, сколько сертификатов было отозвано в течение трех недель, их данные показывают значительное снижение количества отзывов в выходные дни.
"По сути, это означает, что служба безопасности брала выходные", - говорит он.
Думитрас и Левин надеются, что выводы группы, представленные на этой неделе на конференции Internet Measurement 2014 в Ванкувере, Б. C. - подтолкнет к обсуждению множества факторов, влияющих на общую компьютерную безопасность, и того, как эти факторы могут работать вместе, чтобы лучше укрепить системы.
«Безопасность не является чем-то само собой разумеющимся, - говорит Левин. «Я вижу некоторые из этих результатов, и я шокирован, удивлен и немного напуган. Но в то же время я вижу в этом возможность для улучшения».
DOI статьи: 10.1145/2663716.2663758