Уязвимостью в OpenSSL, Heartbleed — опасность существует по прежнему

Исследователь, занимающийся уязвимостью в OpenSSL, известной, как Heartbleed призывает относиться к результатам исследований и сообщениям в СМИ очень осторожно и не терять бдительность.

Майкл Бэйли, профессор в Университете Иллинойса сообщил: «Когда мы говорим, что не обнаружили доказательств, то имеем ввиду это и именно это. Мы не смогли ничего обнаружить,» сказал он. «Это не означает, что уязвимость не эксплуатируется злоумышленниками.»

Брешь в OpenSSL позволяла хакерам прослушивать канал в момент, когда происходит установка безопасного соединения между сайтом и пользователем. По разным оценкам, около полумиллиона сайтов были подвержены угрозе, когда это выяснилось в апреле.

С тех пор американская Community Health Systems была единственной крупной компанией, которая пострадала, но Бэйли предупреждает, что злоумышленники просто могут использовать известные им уязвимости менее заметно.

«Например, если бы я был атакующим и у меня был доступ к этой уязвимости до того, как она стала известной, то я бы конечно не создавал столько шума, сканируя большие объемы публичного интернета и атакуя все ,что я найду,» сказал он

«Скорее, я сконцентрировался бы только на специфических и важных целях — так чтобы это нельзя было обнаружить с помощью нашей инфраструктуры и вообще в целом сложно обнаружить.»

Он добавил, что некоторые компании поспешили раскрыть уязвимость, таким образов, у сообщества было мало времени для того, чтобы отреагировать и принять меры, прежде чем новость появилась в СМИ.

По содержащимся в документе оценкам, уязвимость угрожала от четверти до половины защищенных HTTPS сайтов из списка Alexa Top Million, включая 44 из топ-100.

В то время, как одна десятая уязвимых сайтов закончила тем, что сменила сертификаты, три четверти применили патчи безопасности, хотя 14% тех, кто установил обновление безопасности продолжили использовать тот же приватный ключ, оставляя их сайты небезопасными.