В середине недели мировое интернет-сообщество взбудоражила новость о том, что в популярном протоколе шифрования OpenSSL найдена ошибка, присутствовавшая там уже в течение двух лет. Недосмотр программиста позволяет любому желающему читать из памяти серверов, где хранятся пользовательские пароли к сайтам, социальным сетям, платежным системам, файловым хранилищам, почтовым службам, банковским сервисам. Но куда к большему скандалу ведет публикация Bloomberg, появившаяся в эту субботу. По данным американского СМИ, именно эту «дыру» в протоколе шифрования данных использовали спецслужбы АНБ, чтобы собирать персональные сведения о пользователях — в том числе высших политиков.

АНБ поспешило опровергнуть выводы Bloomberg, однако издание, ссылаясь на данные по крайней мере двух своих «источников, знакомых с ситуацией», настаивает на сказанном.

Версия выглядит правдоподобной. Какой-то свет на это мог пролить Эдвард Сноуден, спрятанный в России, но он пока молчит.

Что же это за «дыра в интернете»? Главная особенность найденной уязвимости — нет никаких способов узнать, воспользовался ли кто-то такими возможностями за прошедшее время (те же спецслужбы) или ошибку нашли раньше, чем о ней узнали хакеры. Эксперты уже назвали произошедшее «самой серьезной веб-уязвимостью в истории Интернета».

Протокол OpenSSL могут использовать все интернет-серверы, программное обеспечение которых основано на открытых операционных системах Apache и Nginx, а это более 66% всех интернет-сайтов в мире. Когда у вас в адресной строке появляется надпись HTTPS и символ замочка — это оно и есть. По этой причине найденную «дыру» назвали Heartbleed Bug (от heart is bleeding — сердце кровью обливается).

«Любой человек со средним уровнем знаний в области написания компьютерных программ, может потенциально взломать дефектную систему и получить в свое распоряжение персональные данные», — приводит BBC слова заместителя директора компании NCC Group Олли Уайтхауса. Хакеры из компании Fox-IT, чтобы продемонстрировать масштаб бедствия, всего за пять минут добыли около ста паролей к почте Yahoo.

При ближайшем рассмотрении оказывается, что не все так плохо. Список потенциально опасных сайтов, пользователей которых настоятельно просят сменить пароли, возглавляют сервисы компании Yahoo!: почта и известный фотохостинг Fluckr, которые в нашей стране не слишком популярны. Защищенный протокол Https может быть основан далеко не только на «пострадавшем» OpenSSL, а те, кто его использует, совершенно необязательно применяли именно «дырявую» версию.

По сообщениям прессы и компаний, всерьез беспокоиться надо всего лишь примерно 10 миллионам пользователей в мире. Ни один крупный сервис, популярный среди россиян, включая российские социальные сети, Facebook, хранилища и сервисы Apple и Google, отечественные платежные системы и почтовые сайты, «Сбербанк онлайн» и аналогичные службы других банков, не входят в число потенциально опасных. Озаботиться надо, пожалуй, только тем, кто пользуется какими-то мелкими и малоизвестными сервисами — они попадают в зону наибольшего риска, потому что могут просто полениться сменить программы вовремя. Совершенно вне опасной зоны по определению находятся сервисы Microsoft, где, вероятно, сейчас удовлетворенно потирают руки.

Специалисты компании Codenomicon, обнаружившей ошибку, настоятельно рекомендуют обновить свои операционные системы тем, кто использует Linux. Список потенциально опасных версий можно найти на сайте Heartbleed.com.