Нов пропуск в сигурността на OpenSSL може да е по-опасен от Heartbleed

/КРОСС/ Два месеца след откриването на дефекта Heartbleed, специалисти по сигурността са открили пропуск в стандарта за криптиране OpenSSL, който може да е още по-опасен, пише The Guardian. Татсуя Хайсани, който е открил дефекта, посочва пред британския вестник, че новият пробив може да бъде използван за директно шпиониране на комуникациите на хората. 

Heartbleed беше определен като един от най-опасните дефекти, откривани някога в интернет. Целта на OpenSSL е да защитава данните на потребителите с дигитални ключове, но се оказа, че чрез Heartbleed хакерите биха могли да достигнат до тях. Последният пробив съществува във кода от 1998 г. и не е бил забелязан нито от високоплатените специалисти, нито от ентусиастите в областта на киберзащитата в продължение на 16 години. Използването на слабостта на протокола дава възможност на хакерите, които се намират в една и съща мрежа с жертвите си, да се сдобият с информация за ключовете за криптиране и да прихванат данни. Те могат дори да променят данните, изпращани между потребителите и уебстраниците, подмамвайки хората да предоставят поверителна информация за себе си, включително потребителски имена и пароли.

За поправянето на дефекта, открит от Хайсани ще е необходима много повече работа, отколкото за Heartbleed, предупреждава Ник Перкоко, вицепрезидент за стратегическите услуги на компанията по сигурността Rapid7. Инженерът по сигурността на Google Адам Лангли пък отбелязва, че все пак много от популярните браузъри, които не са клиенти на OpenSSL не са заплашени, но всички, които използват стандарта трябва да направят обновяване.