Сегодня множество компаний используют открытое программное обеспечение для защиты своей корпоративной среды и, в том числе, для обеспечения безопасности критически важной корпоративной информации. Зачастую, не задумываясь о надежности используемого ПО, специалисты компании ставят под угрозу как личные данные, так и безопасность всего бизнеса в целом.

Не так давно в открытом криптографическом программном обеспечении OpenSSL (Secure Socket Layers) была обнаружена уязвимость под названием «Heartbleed» (англ. – «сердечное кровотечение»). Heartbleed – это ошибка переполнения буфера в системе, позволяющая несанкционированно читать память на сервере или на клиенте, в том числе для таких операций, как извлечение закрытого ключа сервера.

Сегодня криптографический пакет  Open SSL является одним из самых распространенных сервисов во всем мире. Он обеспечивает безопасность передачи данных с компьютера пользователя на сервер провайдера услуг, при этом все данные проходящие по этому узлу шифруются на основе определенного ключа. Расшифровать такую информацию без знания такого ключа практически не представляется возможным. Однако, уязвимость Heartbleed позволяет завладеть частью информации пользователя, зачастую, содержащую и ключи шифрования данных. Уязвимость заключается в следующем:  все компьютеры, соединенные между собой с помощью этого криптографического сервиса, способны посылать друг другу запросы о текущем состоянии системы. Эта функция носит, созвучное с уязвимостью, название «heartbeat» (англ. – «пульс»). С помощью heartbeat, один из компьютеров может узнавать у другого его текущий Online-статус.

В следствие ошибки, допущенной в программном коде, во время использования функции heartbeat, компьютер, отвечающий на запрос, не проверял фактическую длину самого запроса . Благодаря этому, запрос можно было составить таким образом, чтобы заставить получателя информации выдать до 64 килобайт из оперативной памяти зашифрованного процесса, при этом, саму процедуру можно было повторять неограниченное количество раз. Таким образом, получение необходимой секретной информации ограничивалось лишь временем и количеством запросов.

По сообщениям Google Security и финской компании Codenomicon что данная уязвимость существовала порядка 2-х лет. За время ее существования сотни тысяч сайтов и серверов оказались под угрозой компрометации. Указать точное число пострадавших от ошибки не представляется возможным.

Основная проблема бесплатного публичного ПО заключается в том что оно находится в свободном доступе и, соответственно, компании, пользующиеся таким обеспечением не вносят никакого вклада в его тестирование и  дальнейшее развитие. Между тем, безопасность самих компаний напрямую зависит от используемой защиты.

Предугадать, сколько еще ошибок есть и будет в программном коде невозможно, именно поэтому самым надежным способом защиты информации на сегодняшний день является аппаратная криптография.