Уязвимость Heartbleed угрожает ещё и оборудованию

Прореха в защите повсеместно используемого в сети Интернет протокола зашифрованной передачи данных SSL, обнаруженная в конце марта 2014 года, создала проблемы не только на веб–ресурсах, но и в сетевых аппаратных средствах.

Врождённый дефект общедоступной реализации технологии SSL (Secure Sockets Layer), два года просуществовавший вне зоны внимания общественности, вполне возможно, использовался злоумышленниками для кражи паролей, данных кредитных карт и иных персональных данных. Эта уязвимость позволяет хакерам действовать, не оставляя следов.

То, что проблема всплыла в СМИ, парадоксальным образом увеличивает риски: мошенники будут торопиться, пока все известные ресурсы не перекроют каналы утечки. Производители спешно выпускают новые прошивки к устройствам — даже Cisco и Juniper не остались в стороне, открыто признав, что ряд моделей маршрутизаторов всё ещё остаётся уязвимым. Для выявления уязвимости каждая из моделей должна быть подвергнута тестированию; на производителей с обширными модельными рядами ложится весьма серьёзная нагрузка — убедиться, в каких конкретно приборах имеются проблемы, а затем разработать обновления прошивок для каждого из них, после чего разослать дилерам и/или напрямую пользователям техники извещения о необходимости перезаливки фирменного ПО.

Наиболее сложная ситуация образовалась в секторе оборудования для автоматизации жилища: в последнее время возникла масса «умных» приборов, самостоятельно связывающихся с сетью Интернет. Вся совокупность того, что сегодня носит название «Интернет вещей», также оказывается под угрозой. А то, что многие производители новейшего оборудования являются молодыми компаниями, если не стартапами, осложняет выделение ресурсов на проверку каждого отдельно взятого прибора. Предугадать, с какой стороны ударят хакеры, здесь практически невозможно. Если речи идёт о домашнем BluRay–плеере с Wi–Fi, скорее всего, ничем страшным взлом не грозит. Однако, скажем, взломанный термостат способен принести владельцу дома или квартиры немало хлопот.

В чём заключается брешь в защите оборудования? Маршрутизаторы, сетевые коммутаторы и межсетевые экраны, точно так же, как и вебсайты, содержат в себе код, реализующий протокол SSL/TLS в виде набора программного сетевого инструментария OpenSSL. Именно в этом коде имеется дефект, потенциально используемый киберпреступниками. Эксперты советуют всем пользователям сети срочно сменить все пароли, однако этого будет недостаточно, поскольку о «залатывании дыр» должны в кратчайшие сроки позаботиться собственники сайтов и производители оборудования. В противном случае даже изменённый пароль останется незащищённым.