USD 77.78 ЕВРО 91.56

Большинство, но не все сайты исправили уязвимость Heartbleed

Экономика

Топ 1000 сайтов имеют иммунитет к эксплойту, но 2% от топ-миллиона ещё не исправили уязвимость

HeartbleedСегодня ведущие мировые 1000 веб-сайтов были пропатчены, чтобы защитить серверы от экспрлойта «Heartbleed», но до 2% от верхнего миллиона по-прежнему уязвимы, как и на прошлой неделе, в соответствии с информацией компании безопасности из Калифорнии.
В четверг, компания безопасности Sucuri из Калифорнии сканировала миллион самых популярных веб-сайтов, упорядоченных Alexa Internet, дочерней компанией Amazon, которая собирает данные веб-трафика.

Сайты из верхней тысячи, либо имели иммунитет, либо были исправлены новейшими библиотеками OpenSSL, подтвердил Даниэль Сид, главный директор по технологиям Sucuri.
Heartbleed — название ошибки в OpenSSL, криптографической библиотеке с открытым исходным кодом, которая позволяет шифрование SSL (Secure Sockets Layer) или TLS (Transport Security Layer), обнаруженной независимо Нилом Мехта, инженером по безопасности Google, и исследователями из фирмы безопасности Codenomicon в этом месяце.

Ошибка была введена в OpenSSL в конце 2011 года.
Из-за широкого использования OpenSSL веб-сайтами (многие полагаются на него для шифрования трафика между серверами и клиентами) и очень скрытного характера эксплойта, специалисты по безопасности обеспокоены тем, что киберпреступники могли или уже захватили имена пользователей, пароли и даже ключи шифрования, используемые серверами сайтов.

Проект OpenSSL выпустил патч для ошибки 7 апреля, положив начало спешного латания программного обеспечения на серверах и в некоторых клиентских операционных системах.
Подавляющее большинство уязвимых серверов были исправлены по состоянию на 17 апреля, заявила Sucuri в своем блоге.

В то время как все топ 1000 сайтов защищены от эксплойта, небольшие сайты по-прежнему уязвимы. Из топ 10.000 — 0,53% были уязвимы, как и 1,5% от топ 100.000 и 2% от топ 1.000.000.

Другие сканирования показывают подобные цифры сайтов, открытых для атаки: в пятницу, Websense заявила о примерно 1,6% уязвимых сайтах из топ 50.000 по рейтингу Alexa.
Так как возможно, что ключи шифрования некоторых сайтов были раскрыты, эксперты по безопасности призвали владельцев веб-сайтов получить новые сертификаты SSL и ключи, и посоветовали пользователям быть осторожными при просмотре сайтов, которые ещё не сделали этого.

Сканирование Sucuri не проверяло сайты на то, чтобы увидеть, получили ли они новые сертификаты, но Сид сказал, что в следующий раз они это сделают, возможно, на этой неделе. «Бьюсь об заклад, что результаты будут намного хуже, чем в этот раз», сказал Сид.
Доступны некоторые инструменты для обнаружения Heartbleed-уязвимых сайтов, в том числе опубликованный у поставщика безопасности Qualys.