Глобальные угрозы безопасности пользователей. Heartbleed и другие - Степан Ильин, Вячеслав Закоржевский, Никита Кислицин - Точка - 2014-04-20

20.04.2014

Глобальные угрозы безопасности пользователей. Heartbleed и другие - Степан Ильин, Вячеслав Закоржевский, Никита Кислицин - Точка - 2014-04-20 Скачать

А. ПЛЮЩЕВ: Добрый вечер, в студии Александр Плющев и Сергей Оселедько. Добрый вечер, Сергей.

С. ОСЕЛЕДЬКО: Добрый вечер.

А. ПЛЮЩЕВ: И мы уже вот второй раз в таком составе ведем программу «Точка», и, надеюсь, еще долгое время проведем, будем проводить. Сегодня наша тема, мы так обозначили ее: «Глобальные угрозы безопасности пользователей. Heartbleed и другие». У нас наши эксперты сегодняшние, так получилось, что у нас два бывших главных редактора журнала Хакер сегодня довольно случайно здесь появились. Это Степан Ильин – добрый вечер.

С. ИЛЬИН: Всем привет.

А. ПЛЮЩЕВ: А также Никита Кислицин, ныне он руководитель проекта по мониторингу ботнетов компании Group-IB.

Н. КИСЛИЦИН: Здравствуйте.

А. ПЛЮЩЕВ: Ну, и также, конечно же, из Лаборатории Касперского есть у нас руководитель группы исследования уязвимостей Вячеслав Закоржевский – добрый вечер.

В. ЗАКОРЖЕВСКИЙ: Здравствуйте.

А. ПЛЮЩЕВ: Вот в таком составе мы сегодня будем обсуждать заявленную тему. Я бы хотел, чтобы кто-нибудь один из вас, если это возможно, выступил бы таким небольшим докладчиком: что же, собственно, произошло на днях, условно говоря… то есть, произошло-то это, наверное, давно, стало известным на днях.

С. ОСЕЛЕДЬКО: Две недели назад.

А. ПЛЮЩЕВ: Ну, для нас это на днях, в принципе, по большому-то счету. Вот. И дальше мы уже будем говорить, чем это чревато, как от этого обезопаситься. Потому что я так понимаю, что касается это вообще абсолютно всех пользователей.

Н. КИСЛИЦИН: Ну, сейчас-то уже не так уж чтобы всех, это действительно…

С. ИЛЬИН: Касалось, да.

Н. КИСЛИЦИН: … две недели назад случилось, и понятно, что за две недели все ведущие сервисы уже проблему решили, включая даже самые медленные и костные, в самых даже отдаленных странах. Поэтому, в принципе, проблема, конечно, уже …

С. ИЛЬИН: Тем не менее, она будет еще актуальна долгие-долгие годы.

А. ПЛЮЩЕВ: Этот аспект мы тоже обсудим. Сейчас, секунду. Давайте сначала разъясним, чего случилось, чтобы слушатели, которые, вот услышав про глобальные угрозы безопасности и незнакомое, возможно, кому-то еще слово «Heartbleed», не выключили радиоприемники, честно скажу, давайте им объясним, что, собственно, мимо них только что просвистело, какой астероид.

С. ИЛЬИН: Да, ну, давайте я на пальцах расскажу, а ребята дополнят и углубят. Я вот прямо совсем очень просто. Вот если кратко, что произошло, то у нас появился такой крякер интернета. Вот есть такое понятие, оно было в начале 2000-х, связанное с медленным интернетом, когда он был дорогой, и было такое мифическое понятие крякер интернета, который позволял бесплатно получить интернет. Вот сейчас… тогда этого крякер интернета не было, а вот сейчас он появился, только он появился не в том как бы понимании, в котором он тогда понимался, а в таком новом совершенно. Что такое Heartbleed? Это возможность получать данные сервера за счет того, что на сервере используются всякие… не всякие, а конкретные решения для шифрования. То есть, была найдена уязвимость очень серьезная в библиотеке OpenSSL, которая используется повсеместно. Вот две трети серверов интеренета используют ее, для того чтобы шифровать наш трафик. Для того, чтобы никто не мог сесть где-то посередине, там, подключиться к проводам, грубо говоря, и не перехватывать все, что летает по проводам, есть специальная технология, называется SSL, которая шифрует все данные, которые передаются. Соответственно, для ее реализации на каждом сервере практически, то есть, на двух третях серверов есть так называемая библиотека OpenSSL. И вот, как ни странно, вот в этом решении, которое должно вроде как обеспечивать шифрование данных, вдруг оказалась уязвимость, которая не просто открывает возможность для перехвата данных, более того, она открывает возможность для их чтения. То есть, если вдруг сервер использует OpenSSL, (неразб.) версии, злоумышленник может подключиться к этому серверу абсолютно незаметно, прочитать оттуда дамп памяти размером 64 килобайта, и в этом дампе памяти с большой долей вероятности могут быть, во-первых, а) пароли, логины для доступа к этому ресурсу, сертификаты, которые используются для шифрования данных. В общем, получилось такое прям… крутой крякер интернета. И как бы особенный колорит то, что это используется повсеместно, две трети всех серверов используют OpenSSL, это такой стандарт де-факто.

Н. КИСЛИЦИН: Ну, я чуть вот поправлю насчет двух третей. Действительно, корректно, что две трети используют OpenSSL, но далеко не все из этих двух третей на самом деле были уязвимы…

С. ИЛЬИН: Да.

Н. КИСЛИЦИН: … потому что была уязвима конкретная версия, скомпилированная, там, с определенными параметрами. Потому что уязвимость находится в добавленном механизме, который добавлен был в начале 12-го года. И именно вот в этом новом механизме была, собственно, допущена ошибка программистом Робином Зеггельман из Германии, который, значит, 1 января 12-го года добавил новый, что называет, коммит, ну, вот какой-то кусочек кода с новой функциональностью, и вот с тех пор, с 12-го года эта уязвимость была и распространялась по интернету.

А. ПЛЮЩЕВ: И никто о ней не знал.

Н. КИСЛИЦИН: Как это никто? Почему?

А. ПЛЮЩЕВ: Ну, смотри…

Н. КИСЛИЦИН: Публично никто не знал.

А. ПЛЮЩЕВ: Да, я тебе о чем и говорю, что публично.

С. ОСЕЛЕДЬКО: Можно я задам вопрос? А какой процент из этих двух третей серверов, которые используют OpenSSL, был подвержен уязвимости?

Н. КИСЛИЦИН: Ну, я думаю, что около 30-40%.

С. ОСЕЛЕДЬКО: То есть, мы говорим примерно о 20% сайтов в интернете.

Н. КИСЛИЦИН: Да, 20-25.

С. ОСЕЛЕДЬКО: То есть, это…

Н. КИСЛИЦИН: Включая крупные сервисы, такие, как Yahoo, банки, почтовые сервисы, не знаю, платежные шлюзы…

С. ИЛЬИН: Да, тут есть важный момент, то, что как бы вот эта версия, в которой появилась эта уязвимость, она на самом деле добавляла важное нововведение, необходимое для шифрования. Поэтому на эту версию уязвимую перешли, ну, если не все самые большие ресурсы интернета, то почти все. Более того, не надо…

Н. КИСЛИЦИН: То есть, это самые передовые из… то есть, это самые сильные, самые значимые ресурсы из этих двух третей.

А. ПЛЮЩЕВ: Резюмирую. Получается, что, в принципе, ничто не мешало, начиная с 2012-го года, да, там, какого-то времени, неким злоумышленникам или даже, может быть, людям совершенно случайным, которые часто испытывают, что называется, возможности какие-то тех или иных серверов (они могут быть не злоумышленниками при этом), вот, им позволяла перехватывать данные, перехватывать логины-пароли, возможно, платежные реквизиты (ну, как это, в общем, то же самое, логин-пароль и всякие такие вещи) у гигантского числа пользователей, среди которых можем быть и все мы, вот пять здесь сидящих, и все радиослушатели, которые нас слушают, абсолютно все. Потому что, так или иначе, но у каждого из нас куча паролей на каждом сайте, на каждом сервисе, и все их фактически… ну, не все, там, часть из них какую-то довольно значительную могли перехватить. И, кажется, могут перехватить до сих пор некоторую часть, нет?

Н. КИСЛИЦИН: Ну, ты все корректно, в принципе, изложил.

А. ПЛЮЩЕВ: Так.

Н. КИСЛИЦИН: Насчет того, какую часть можно по-прежнему перехватить, а какую – нет, эта ситуация, конечно, очень меняется, и две недели она очень быстро менялась, количество сайтов, которые уязвимы именно к этой атаке, например, количество уязвимых веб-приложений, так скажем, оно, конечно, очень снижается. Но понятно, что библиотека OpenSSL используется в ряде других сервисов, например, уже публично известно, что эту же уязвимость можно использовать и, например, в OpenVPN каналах. То есть, это каналы для шифрованной передачи, организации передачи данных, и, собственно, это вот такая небольшая новая реинкарнация. И, наверное, в каких-то там новых вещах тоже это может постепенно всплывать.

С. ОСЕЛЕДЬКО: То есть, я правильно понимаю, что речь идет не о перехвате общения между клиентом и сервером, а об уязвимости самого сервера? Достаточно было подключиться к этому серверу, и он сам добровольно рассказывал все, что он знал про своих клиентов.

Н. КИСЛИЦИН: Да. Получилось, что использование шифрования на самом деле оказалось брешью, и лучше бы уж не использовать никакое шифрование в данном случае. Потому что хотя бы если шифрование не используется, то данные перехватить можно, только имея физический доступ к проводу, к оборудованию. Вот. А в случае использование такого уязвимого шифрования, уязвимой библиотеки стало возможным кому угодно в интернете читать вот передаваемые данные.

С. ОСЕЛЕДЬКО: Собственно говоря, ПО, то есть, операционные системына стороне клиента, Mac, Windows, Linux, Android и так далее, в принципе, было… не имело здесь никакого значения…

С. ИЛЬИН: Абсолютно никакого.

С. ОСЕЛЕДЬКО: … все в равной степени были подвержены этой уязвимости.

А. ПЛЮЩЕВ: Да, в отличие от случаев с вирусами, например. Что-то у нас хотел Вячеслав Закоржевский добавить.

В. ЗАКОРЖЕВСКИЙ: Я на самом деле хотел добавить, что мы обсуждаем только сервера и совсем забываем о клиентской части. Потому что, например, та же Андроид система, определенная версия, 4.1, кажется, использует уязвимую библиотеку OpenSSL. То есть, те, кто сидит на Линукс, у них тоже в браузере может использоваться библиотека OpenSSL. И надо понимать, что не только сервера уязвимы, а еще некоторые клиенты.

А. ПЛЮЩЕВ: Опять же, давай переведем это для многих наших слушателей. Получается, что те, у кого смартфоны на Андроид 4.1, у них тоже есть некие риски. Давайте о них поговорим, что за риски. Линукс-то ладно, я думаю, те, кто на Линуксе сидят, они сами разберутся, мне кажется, без наших пояснений. А вот с Андроид 4.1, который, в общем, это такая довольно бытовая уже вещь, вот, давайте-ка разбираться сейчас прям.

В. ЗАКОРЖЕВСКИЙ: Можно сделать то же самое практически, только здесь вместо сервера выступает обычный телефон. Если вы, например, подключаетесь куда-то с телефона, у вас открывается такое зашифрованное SSL-соединение, и злоумышленник может, вместо того, чтобы отправлять на сервер и получать с него информацию, может отправить просто на ваш телефон. Так как он, опять же, (неразб.) внешний IP-адрес и также может сделать запрос и получить в ответе какую-то информацию, которая сохраняется у пользователя на смартфоне, ну, вот в этом фрагменте памяти. То есть, по сути, это то же самое…

А. ПЛЮЩЕВ: А какого количества пользователей телефонов примерно сейчас это может касаться? И, соответственно, каким образом можно эту дырку закрыть? На серверах – более-менее понятно, этим будут заниматься те, кто их обслуживает, это не на нашей стороне. А вот это на нашей.

В. ЗАКОРЖЕВСКИЙ: Очевидно, обновить операционную систему. Гугл уже сделал обновление, более того, Гугл даже признался у себя в блоге, что системы, построенные на iPhone OS, то есть, их конкурент прямой, они не уязвимы к этой атаке, вот. Андроид, он как раз язвим, они уже выпустили патч для системы, то есть, пользователям следует озаботиться и поставить последний апдейт.

А. ПЛЮЩЕВ: Ну да.

С. ОСЕЛЕДЬКО: То есть, по сути дела, я правильно понимаю, что мы сейчас столкнулись, пожалуй, с самой масштабной и самой критической из потенциальных уязвимостей за всю историю существования интернета?

В. ЗАКОРЖЕВСКИЙ: Многие так ее называют, да, действительно.

С. ИЛЬИН: На самом деле вот каждый день проходит такая номинация хакерская, и там выбирается самый большой фейл года, самая такая громкая уязвимость. Я уверен, что вот Heartbleed возьмет если не несколько номинаций, то одну точно. То есть, это прямо и лучшая уязвимость, и лучший фейл года, я не знаю, как еще назвать. Это прямо бомба.

С. ОСЕЛЕДЬКО: Понятно. Ну, всех мы запугали, тогда давайте… кто виноват – тоже понятно. А что делать?

Н. КИСЛИЦИН: Вот кто виноват – как раз не очень понятно.

С. ИЛЬИН: Да, это, кстати, интересная тема.

С. ОСЕЛЕДЬКО: Вы назвали фамилию немецкого программиста…

Н. КИСЛИЦИН: Нет-нет-нет, вы должны понимать, что это несчастный аспирант из маленького городка где-то там в Германии, который не получает ни копейки, он сидел в своем университете и время от времени пописывал код.

С. ИЛЬИН: Да, но тут на самом деле есть важный момент. Нужно понимать, что то, что мы обсуждаем, библиотека OpenSSL, которая используется для шифрования повсеместно – это на самом деле проект с открытыми исходниками. За ними не стоит никакая коммерческая компания, насколько я понимаю. Это исходники, то есть, вот как бы полностью исходный код программы, он публично доступен, в нем принимает участие любой желающий, это может быть кто угодно. Поэтому этот самый коммит, то есть, изменение в коде, которое принесло это изменение и эту уязвимость, это долгие годы было всем доступно, каждый из нас мог его там увидеть, прочитать, найти. Вот. Соответственно, этот участок кода, который добавил вот этот аспирант из Германии, его обязательным образом должен был еще кто-то проверять, потому что есть такая практика в разработке OpenSSL. То есть…

Н. КИСЛИЦИН: И он был проверен.

С. ИЛЬИН: И он был проверен.

Н. КИСЛИЦИН: Как минимум появляется второй человек, некий Стивен с какой-то фамилией, уже из Великобритании, который данный коммит одобрил, и, собственно, он был поэтому включен.

С. ОСЕЛЕДЬКО: То есть, я правильно понимаю, что все противники опенсорсного ПО сейчас злорадно потирают руки?..

Н. КИСЛИЦИН: Они имеют все шансы присоединиться к опенсорс-движению и улучшить его, во-первых. Во-вторых, надо понимать, что конкретно данный проект за год пожертвований собрал 2 тысячи долларов. То есть, две трети интернета пользуются OpenSSL, включая гигантские корпорации, и в плане пожертвований 2 тысячи за год. То есть, это проект, создаваемый энтузиастами, которые работают бесплатно в рамках добровольной какой-то инициативы. Требовать еще чего-то от них…

А. ПЛЮЩЕВ: Слушайте, здесь прям просится, конечно, теория заговора абсолютно.

С. ИЛЬИН: Есть еще очень много нюансов на самом деле.

А. ПЛЮЩЕВ: Расскажи.

С. ИЛЬИН: Вот нюанс номер раз. Когда используется эта атака, в логах, то есть, в журналах веб-сервера ничего не обозначается, нет никаких… вот в стандартных настройках, по крайней мере, нет никаких записей о том, что кто-то использует эту уязвимость. Ее могли годами использовать против какого-то сервиса, никакие админы бы этого не замечали.

А. ПЛЮЩЕВ: Это правда, мы об этом еще поговорим. Но пока мы находимся на другой немножечко стадии обсуждения. Насколько, по-вашему, вероятна такая версия, когда… ну, это же свободное сообщество разработчиков, правильно? У которого есть свои правила. Там, один пишет, другой проверяет, там… ну, какие-то, я упрощаю, наверное, но тем менее.

С. ИЛЬИН: Все так и есть на самом деле, все очень просто.

А. ПЛЮЩЕВ: Почему бы туда не внедрить пару-тройку агентов, которые друг друга одобрят, там, один напишет, другой одобрит, и все замечательно? Насколько это?.. Я, извините, совершенно ничего не знаю об этом, поэтому, может быть, леплю горбатого прям сейчас, но вот как вы рассказали, у меня прям все выстроилось, все сразу стало ясно!

С. ИЛЬИН: Вся соль в том, что вообще даже не надо никого засылать, в принципе.

(смех)

С. ИЛЬИН: Ты, Саш, сам можешь прямо сейчас со своего компьютера взять добавить…

Н. КИСЛИЦИН: Это не надо (неразб.) это хрустальный замок на горе, куда надо заслать, там, агента.

А. ПЛЮЩЕВ: Не-не, ну, я же…

Н. КИСЛИЦИН: Открытость подразумевает, что…

А. ПЛЮЩЕВ: Как Википедия, да? Мы все понимаем. Вот, условно говоря, что один человек вносит правку, другой ее там может откатить, ну, и так далее, да?

С. ИЛЬИН: Ну, есть, естественно, некоторые ответственные люди, которые принимают или не принимают эти изменения, формируют, там, какой-то road map по разработке, делают понятные версии релиза. Естественно, там, как бы человек со стороны вряд ли сможет прямо сделать важный коммит, то есть, важное изменение в коде, так, чтобы это никто не проверил, не посмотрел. Вот. Поэтому в этом плане, когда это вносит привычный разработчик, который разработал большую часть кода, то это менее заметно.

А. ПЛЮЩЕВ: Знаете, как вам сказать? К Штирлицу тоже все привыкли, некоторые даже с ним выпивали, а вот на тебе, как вышло. Поэтому, не знаю, я бы не сбрасывал со счетов. Но вам виднее.

С. ИЛЬИН: Но тут на самом деле вопрос как бы, специально ли люди внесли эту уязвимость или не специально…

Н. КИСЛИЦИН: Специально ли ее оставили, например.

С. ИЛЬИН: Специально ли ее оставили, да.

Н. КИСЛИЦИН: Уязвимостей, понятно, как бы ошибок при программировании много возникает, очень много нюансов. Понятно, что это абсолютно нормальная ситуация, что в коде есть какой-то баг. Другое дело, что он остался и долго существовал так на виду, что интересно

С. ИЛЬИН: Да, и третий вопрос на самом деле: как скоро эту ошибку, уязвимость обнаружили третьи лица и не рассказывали о ней долгое время?

А. ПЛЮЩЕВ: Целых два года, да? И ведь, как вы сами сказали, ею могли пользоваться, и кто-то, может быть, пользовался и воспользовался.

С. ОСЕЛЕДЬКО: Блумберг, например, обвинила АНБ, да?

Н. КИСЛИЦИН: Блумберг не то что обвинила, она сказала, что два независимых информированных источника сообщили им, что NSA знала…

А. ПЛЮЩЕВ: Это АНБ.

Н. КИСЛИЦИН: Да. Знала об уязвимости два года и с успехом ее использовала для получения информации о террористах и так далее. Ну, наверняка. Почему нет? Учитывая, что у них есть огромный бюджет на поиск уязвимостей как раз в открытом коде, и посадить там нескольких талантливых людей, которые бы мониторили все изменения, все добавления новых функциональностей в поисках уязвимостей – вполне возможно, не надо даже никого никуда засылать.

С. ИЛЬИН: Нет сомнений в том, что мониторингом такого рода программного обеспечения, тем более с открытыми исходниками, занимается не одна группа людей в мире. То есть, это лакомый кусочек, это то…

А. ПЛЮЩЕВ: Давайте-ка вы это еще раз повторите специально для тех слушателей, которым, может быть, все эти программные вещи не интересны, зато интересны теории заговоров. Давайте так: правильно ли я понял, что спецслужбы отслеживают, могут отслеживать, скажем так, могут отслеживать любые дополнения, развития, скажем так, программного обеспечения на предмет их ошибок и возможного их использования?

С. ИЛЬИН: Ну, этим занимается не непосредственно спецслужба, а специальные компании, которые работают в области информационной безопасности, но…

А. ПЛЮЩЕВ: Group-IB, например.

С. ИЛЬИН: … клиентами этих компаний могут стать как коммерческие компании…

А. ПЛЮЩЕВ: Лаборатория Касперского.

С. ИЛЬИН: … так и государственные структуры…

Н. КИСЛИЦИН: Множество, есть компании, которые прям созданы для того, чтобы выкупать, там, уязвимости и продавать их назад вендорам или еще что-то.

С. ИЛЬИН: Покупать уязвимости, продавать их госструктурам.

Н. КИСЛИЦИН: Госструктурам, да. И это большой сложившийся рынок, который как бы растет, развивается.

С. ИЛЬИН: Да, но так получилось, что найти уязвимости как бы есть много путей, и вот следить за изменениями в разных программах – это один из понятных путей. То есть, например, выпускает Майкрософт новые патчи каждый вторник, или не каждый вторник…

В. ЗАКОРЖЕВСКИЙ: Каждый второй вторник месяца.

С. ИЛЬИН: Каждый второй вторник месяца, спасибо. И это очень понятный путь: посмотреть, что было, посмотреть, что стало, посмотреть, какие ошибки были исправлены и таким образом понять, где были ошибки, и написать для этого боевые программы, так называемые эксплойты, которые могут эксплуатировать уязвимости. В случае с опенсорсом еще проще, потому что не нужно ничего отлаживать, получать исходные как бы… реверсить, как мы это называем, то есть, восстанавливать из бинарных файлов некоторый понятный вид для анализа. В случае исходных программ с исходным кодом можно просто посмотреть: ага, изменилась строчка, там, вторая, пятая, шестая, было поправлено то-то, то-то – надо посмотреть, нет ли там уязвимостей. Или надо посмотреть, какие уязвимости были поправлены. То есть, очень просто можно анализировать, что было исправлено, понять, что неправильно работало и сделать предположение: ага, вот, например, вот это можно использовать в своих каких-то целях зловредных, например, вот. Создается эксплойт, дальше его, там, можно сообщить вендору, производителю программного обеспечения – первый путь. Продать его на черном рынке – второй путь. Третий путь – продать его какой-то компании, которая продаст это каким-то государственным структурам. Ну, в общем, довольно много вариантов.

Н. КИСЛИЦИН: Счастливо два года использовать самому – четвертый путь.

С. ИЛЬИН: Да.

С. ОСЕЛЕДЬКО: В общем, я понял, что мы запугали сейчас всех, жить страшно, и пользователь не имеет никаких шансов от таких уязвимостей уберечься, это совершенно неважно, что он выбирает сложные пароли, не пишет их на бумажке, просто сам факт, что существует…

А. ПЛЮЩЕВ: Как выясняется, написать на бумажке – не самый небезопасный…

С. ОСЕЛЕДЬКО: Да. Хорошо, и все-таки я…

А. ПЛЮЩЕВ: Возьму-ка я бумажку…

С. ОСЕЛЕДЬКО: Все-таки я попытаюсь повторить свой вопрос: а что же делать теперь, да?

В. ЗАКОРЖЕВСКИЙ: Давайте я отвечу.

С. ОСЕЛЕДЬКО: Мы все поняли, что случилась катастрофа, и надо что-то делать.

В. ЗАКОРЖЕВСКИЙ: Ну, все, вообще говоря, рекомендуют поменять логины с паролями. Это действительно поможет, это очевидно. Но вначале нужно убедиться…

А. ПЛЮЩЕВ: На всех сервисах, которыми ты пользуешься.

В. ЗАКОРЖЕВСКИЙ: Да. То есть…

С. ОСЕЛЕДЬКО: Всего ничего.

В. ЗАКОРЖЕВСКИЙ: … по-хорошему, надо сделать так: вначале надо убедиться, вообще сервис, исправили его уязвимость или нет.

А. ПЛЮЩЕВ: Как это сделать?

В. ЗАКОРЖЕВСКИЙ: Если сервис об этом не сообщает, то всегда можно воспользоваться сторонним сайтом, ну, которых уже множество в интернете, и проверить, уязвим ли сервис, которым вы пользуетесь, или нет.

А. ПЛЮЩЕВ: Приведите примеры такие, да.

В. ЗАКОРЖЕВСКИЙ: Я, честно говоря, не приведу, но если забьете в Яндексе «сервис проверки Heartbleed», там будет… первые 10 страниц, и на этом сервисе можно все проверить. То есть, если сервис уже неуязвим, то все, меняется логин с паролем, и все в порядке.

С. ОСЕЛЕДЬКО: А если уязвим?

В. ЗАКОРЖЕВСКИЙ: Если уязвим, то лучше ждать, пока его исправят.

С. ИЛЬИН: Мне кажется, им лучше уже не пользоваться даже никогда.

В. ЗАКОРЖЕВСКИЙ: Знаете, на самом деле зависит сильно от сервиса. Потому что все говорят, поменять, но, в целом, если есть двухфакторная авторизация, как в интернет-банке, логин с паролем ничего не даст злоумышленникам. Даже если они попробуют подключиться, все равно без смски или скретч-кода ничего не получится. Ну, перечислить деньги, например. То есть, максимум, что можно получить – это узнать, например, паспортные данные или баланс, не более того.

А. ПЛЮЩЕВ: Паспортные данные – уже хорошо.

С. ОСЕЛЕДЬКО: А можно поподробнее, что такое двухфакторная авторизация?

В. ЗАКОРЖЕВСКИЙ: Двухфакторная авторизация – это, скажем, усложнение системы получения доступа, например, к тому же интернет-банку. И, собственно, получение доступа состоит из двух этапов. Первый – это вводится логин с паролем. Если все успешно, то, помимо логина-пароля, вы должны ввести либо, например, код из карточки переменных кодов, то есть, когда вам банк выдает список кодов, например, сто штук, двадцать или сто, и он говорит: введите, например, 15-й код из чека, который в банкомате получается – и вы его вводите. Это первый вариант. Либо более популярный сейчас – это код из смски. То есть, когда вы открываете счет в банке, вы сообщаете свой телефон, говорите, что он привязан к счету. Когда вы пытаетесь подключиться к интернет-банку, если логин и пароль верны, то на телефон приходит смска. Когда вы вводите смску, вы уже подключаетесь к интернет-банку. Соответственно, злоумышленник, не имея доступа к вашему телефону, не может подключиться дальше, даже если у него есть логин и пароль. И двухфакторная авторизация, можно сказать, значительно усложняет злоумышленникам кражу.

А. ПЛЮЩЕВ: Усложняет, но не гарантирует.

Н. КИСЛИЦИН: Абсолютно.

В. ЗАКОРЖЕВСКИЙ: Не гарантирует, конечно.

А. ПЛЮЩЕВ: Расскажите, в чем может быть проблема.

С. ИЛЬИН: Мы обсуждаем Heartbleed или вредоносное ПО в общем? А. ПЛЮЩЕВ: Ну, слушайте, здесь тоже интересно. Мы ушли немножко в сторону, мы можем вернуться потом, но это же тоже интересно. Вот смотрите-ка, есть у меня приятель, который, конечно, небольших, так сказать, способностей в плане интернет-безопасности и так далее, но у него стояла двухэтапная авторизация на Gmail. И вдруг его почта начала рассылать спам сама собой. И при этом никаких смсок ему не приходило. Как такое может быть?

В. ЗАКОРЖЕВСКИЙ: Ну, здесь есть два варианта. Первый – можно…

А. ПЛЮЩЕВ: Он остался залогиненным где-то.

В. ЗАКОРЖЕВСКИЙ: Первый – это вредоносное ПО осталось на компьютере или он где-то остался залогиненным. Тогда у злоумышленников есть сессия целиком, то есть, где сохранен логин-пароль, и пока вот ваш друг, пока он не выйдет, не нажмет кнопку «Выйти» из своего аккаунта, можно с другого компьютера свободно пользоваться почтой, что угодно отправлять, читать и так далее. Второй вариант – на компьютере просто, где он пользуется почтой, стоит вредоносное ПО, которое просто мониторит почту. Если вирус установлен на самом компьютере, то неважно, используется какое-то шифрование, не используется шифрование, то есть, у него есть все данные напрямую, и там можно, в тот момент, когда уже введен логин, пароль и смска, вирус просто контролирует содержимое почты и сам просто говорит, что нужно, ну, получить, отправить, письма все считать. То есть, здесь уже неважно, какие системы используются, надо защищаться именно… сам компьютер защищать.

А. ПЛЮЩЕВ: Да, но в любом случае, двухэтапная авторизация – это если не панацея, то такой сильный инструмент, для того чтобы по меньшей мере обезопаситься. Его сейчас практически все банки используют, мне кажется.

Н. КИСЛИЦИН: Ну, его используют, но нюансов очень много. Например, вот по своей работе мы… я своими глазами вижу сотни тысяч Андроид-устройств, которые троянятся, люди сами ставят себе мобильные трояны под видом, не знаю, обновления для флэш плеера, чтобы посмотреть какой-нибудь ролик, или какой-нибудь программы для просмотра MMS, или еще что угодно. То есть, мы видим все то же самое, посредством социальной инженерии людей заставляют скачивать, устанавливать какие-то нежелательные приложения, которые являются троянами, они похищают телефонную книгу, смс-сообщения, в реальном времени могут контролировать поток входящих-исходящих сообщений.

А. ПЛЮЩЕВ: Это как раз то, о чем говорил Вячеслав насчет того, что это проблема открытой системы, которой является Андроид, когда ты можешь закачать все что угодно. И поэтому там есть антивирус Касперского, например. Ну, там есть разные антивирусы, в том числе и антивирус Касперского.

Н. КИСЛИЦИН: Как и с любыми антивирусами, это тоже не всегда прям 100% уж гарантия.

С. ИЛЬИН: Кстати, пользователи довольно часто себе устанавливают прямо вот зловредное программное обеспечение, думая, что скачивают антивирус себе, как на компьютер, так и на телефон.

В. ЗАКОРЖЕВСКИЙ: Да, есть такое.

Н. КИСЛИЦИН: Путей для того, чтобы впарить людям нежелательное ПО, очень-очень много.

А. ПЛЮЩЕВ: Да, давайте тогда вернемся к Heartbleed. Если у вас есть вопросы – +7-985-970-45-45, или через Твиттер, аккаунт @vyzvon. Вы уже, многие из вас этим пользуются сейчас, и один из вопросов… в общем, не понята осталась тема насчет разницы между Windows, Макинтош, Линукс и так далее. Нет никакой, вообще, абсолютно, на каком бы компьютере вы ни сидели, никакой разницы нет.

Спрашивает Таня, замечательный вопрос, между прочим. Вот мы все тут рассуждаем, когда стало известно, когда уязвимость появилась, когда стало известно и так далее. А Таня спрашивает (а я добавлю сейчас): «А Лаборатория Касперского когда узнала?» А Group-IB когда узнала? Чем вы там все занимались?

Н. КИСЛИЦИН: Я убежден, что и Лаборатория Касперского, и Group-IB узнали из публичных источников об этой уязвимости.

В. ЗАКОРЖЕВСКИЙ: Подтверждаю. Мы узнали тоже из публичных источников. Наверное, многие хотят услышать, что мы узнали и знали об этом два года и как-то ею пользовались, но нет.

А. ПЛЮЩЕВ: Ну, конечно, все вас подозревают в том, что вы пишете вирусы, продаете их, потом сами продаете от них антивирусы, ну, и так далее, это безусловно. Но мне кажется, дело не в этом. Здесь я в вопросе Тани-то услышал не подозрение в чем-либо, кроме как подозрение в том, что вы пропустили это. По идее, это в вашей компетенции, отслеживать такие вещи, или нет?

Н. КИСЛИЦИН: Ну, конечно же, нет. Ну, представляете, сколько кода пишется ежедневно, сколько даже открытого кода? Это же огромное-огромное количество программ, систем сложнейших, которые создаются. И людей, которые реально смогли бы понимать каждый коммит, его значение, его функционал, ну, реально очень мало. По тому же OpenSSL – это такой хрустальный замок, сложный внутри, и реально представлять и видеть все нюансы в нем могут всего несколько людей в мире-то, наверное.

А. ПЛЮЩЕВ: Дмитрий нам пишет: «Двухфакторная авторизация, - возвращается он к этой теме, - полагается на надежность сотовых сетей, а они уязвимы. Почему эксперты об этом не говорят?» Они еще не говорят о том, например, что можно клонировать и симку, насколько я понимаю. Тут масса аспектов существует. Другое дело, что, ну, есть какое-то магистральное направление такое. Да, и сотовые сети не очень надежны. Ну, все лучше, чем ничего, мне кажется, нет? Я за вас ответил?

В. ЗАКОРЖЕВСКИЙ: Конечно, абсолютно согласен.

А. ПЛЮЩЕВ: Спасибо. Так…

С. ИЛЬИН: Кстати, вот по поводу вопроса, кто не проморгал вообще вот это все, Heartbleed. Вообще интересно то, что этот баг существовал два года, но нашли его одновременно две компании. То есть, это нашел, во-первых, инженер из Google security, компании Гугл, и компания финская, которая занимается информационной безопасностью. Вот очень тоже по поводу теории заговора и странностей вокруг всей этой уязвимости, о том, что вот спустя два года об этом вдруг рассказали две вроде бы абсолютно независимые между собой компании.

С. ОСЕЛЕДЬКО: Ну, я правильно понимаю, что никаких особых рекомендаций в данном конкретном случае, кроме как проверить уязвимость серверов, которыми вы пользуетесь, и потом сменить пароль, нет? То есть, никаких других действий предпринимать не нужно или все-таки?..

В. ЗАКОРЖЕВСКИЙ: Ну, на самом деле я могу еще посоветовать один вариант, который, ну, больше для продвинутых пользователей. Смотрите, как известно, с помощью Heartbleed можно, в принципе, украсть сертификат, приватный сертификат сервера, который идентифицирует его. Ну, то есть, я поясню. Компании, которые используют технологии шифрования SSL, они обязаны, они должны купить сертификат, который удостоверяет, ну, сам сайт. То есть, например, какой-то банк обращается в организацию и покупает сертификат, где написано, что вот этот сайт, например, там, abc.ru, и у него такой сертификат, и это действительно этот сайт. И этот сертификат есть только у банка. Ну, более-менее понятно. Этот сертификат с помощью Heartbleed можно украсть. И, таким образом, злоумышленники теоретически могут сделать фишинговый сайт, использовав этот сертификат, когда пользователь перейдет на фишинговый сайт, браузер не выдаст предупреждение, что это поддельный сайт. Ну, а на поддельном сайте злоумышленники могут повторить полностью все поля для ввода, для смсок и прочее, то есть, таким образом организовать кражу денег, например, с того же интернет-банка. И, по-хорошему, надо у каждого сайта, куда вы подключаетесь, где есть SSL-шифрование, проверять, когда был выписан сертификат. Если он был выписан…

А. ПЛЮЩЕВ: … когда сертификат был выписан… сейчас, да.

С. ОСЕЛЕДЬКО: То есть, ничего другого сделать нельзя.

А. ПЛЮЩЕВ: Да.

В. ЗАКОРЖЕВСКИЙ: Ну, то есть, если пользователь может это сделать, то это поможет, конечно.

А. ПЛЮЩЕВ: Видишь, написано, РЖД – все, нормально, значит, покупаем билеты, все, или что там делаем, Кстати, мы вот все с вами говорим, пугаем-пугаем, что это опасно и так далее. Нам известно, сколько пострадавших, каков ущерб и так далее, кто уже потерял свои логины-пароли, деньги? Есть ли какие-то масштабы?

Н. КИСЛИЦИН: Был известен список сервисов, которые были длительное время уязвимы, в том числе после того, как это стало публично известно, какое-то время. Ну, ряд коммерческих банков, российских, не только, Yahoo, например, пароль от почты достаточно длительное время раздавал, там, десятки часов.

В. ЗАКОРЖЕВСКИЙ: Я хотел добавить про новость, которая недавно прошла. Один пользователь опубликовал, создал сайт или даже сообщество, на котором они привели список карточек, которые были якобы украдены у пользователей РЖД, но так как РЖД и ВТБ24 это не подтверждают, то доподлинно сказать нельзя, это действительно их карточки пользователей, которые платили, или просто какие-то другие, этот сайт был создан для того, чтобы скомпрометировать просто организацию. Это, наверное, чуть ли не единственный…

А. ПЛЮЩЕВ: Очень похожая история на ту, которую ты рассказывал перед этим, на фишинговый сайт, который был очень похож на РЖД.

Н. КИСЛИЦИН: Там если читать, на самом деле все как бы… никакого фишингового сайта там, конечно, нету, там предложен, можно скачать текстовый файл с карточками. И предлагается просто поиском посмотреть, проверить, ну, если вы платили, конечно, в этот временной промежуток за билеты. Вот. Уязвимость в платежном терминале… не терминале, в платежном гейте была. Вот. Компрометировали ли кто-то со злым умыслом эти данные, используют ли их сейчас – достоверно не известно. Люди просто, как я воспринял эту ситуацию, просто хотели показать, что вот проблема была, и как-то дать знать о ней.

В. ЗАКОРЖЕВСКИЙ: Наверное, это чуть ли не единственный такой публичный показ, когда что-то было действительно украдено. То есть, неизвестно, если это правда, да, то это видно хотя бы, что карточки были украдены за какой-то промежуток времени, потому что по другим сервисам прям каких-то достоверных данных нету, потому что большинство сервисов, которые закрыли, даже с задержкой, они сказали, что, там, по их данным, не было ничего украдено, но так как Степан уже говорил, что это точно отследить нельзя, эту атаку… то есть, ну, ее можно отследить со временем, но вряд ли, если ее не закрыли так быстро, вряд ли ее научились так быстро отслеживать, то, наверное, до сих пор сказать нельзя. Возможно, люди начнут узнавать чуть позже, когда кто-то попытается совершить мошеннические операции, например, по украденной карте или подключиться к сервису через логин.

А. ПЛЮЩЕВ: Мы сейчас говорим об этом вот как о такой очень простой вещи. Ну, там была ошибка какая-то, там не проверили. А можно ли было ее как-то предсказать и каким-либо образом предупредить? Это к тому, что, ну, как в будущем-то с такими вещами, что нас ожидает?

Н. КИСЛИЦИН: Ну, в будущем-то мы, конечно, будем дальше сталкиваться с появлением разных ошибок. И здесь, наверное, можно долго рассуждать, где они будут, где не будут. В принципе, любой способ создания кода, и проприетарный, и опенсорс, он, в принципе, подвержен тому, что там уязвимости появляются. Так всегда было, так всегда и будет. Другое дело, что они становятся все сложнее и сложнее, и находить их тяжелее и тяжелее, и стоят они все дороже и дороже. Вот. Это тренд, он будет дальше расти. И все больше и компаний этим занимается, и больше сами великие державы готовы платить за знание об этих уязвимостях, потому что это такой как бы ключ к процессам, которые текут в мире.

А. ПЛЮЩЕВ: Я так понимаю, что в опенсорс поиск уязвимостей, в принципе, в сообществе – это тоже одно из направлений, то есть, люди сами, которые и разрабатывают, они же сами еще и ищут тоже, по идее. Поскольку… это я отвечаю здесь Нику из Ростова, который написал: «Если этот баг прожил счастливо два года и был пойман случайно, то кто даст гарантию, что таких же дыр еще не вагон и маленькая тележка?»

Н. КИСЛИЦИН: Никто не даст гарантию.

А. ПЛЮЩЕВ: «И никто их не ищет, ибо не их это дело», – пишет Ник из Ростова. Так вот…

Н. КИСЛИЦИН: Ник из Ростова, присоединяйтесь к поиску багов. Если вам интересно, скачайте из Гита свежий OpenSSL последний обновленный и ищите уязвимости, помогите сообществу сделать его лучше. Самое лучшее, что можно делать.

С. ОСЕЛЕДЬКО: Мы можем хоть какие-то, там, правила гигиены для пользователей еще раз популярно озвучить, чтобы, в случае возникновения уязвимости, была сильно меньше вероятность, что пользователи станут жертвой?

С. ИЛЬИН: Ну, давайте я резюмирую. После того, как информация об этой уязвимости стала публичной, довольно много людей по всему миру стали сканировать все серверы подряд и пробовать применить, попробовать использовать эту уязвимость. Использовать ее мог любой пятиклассник, вот по чесноку если говорить. Поэтому есть большая вероятность, что вот те сервисы, которыми вы пользовались (почта, социальные сети, банковские аккаунты), они могли в этот момент быть компрометированы вот просто, там, вашим соседом, который вдруг решил попробовать это. Поэтому, если вот последние две недели вы чем-то пользовались, какими-то сервисами, то, ну, не поленитесь поменять пароли. Вот это все, что можно сделать, если касаться просто пользователей.

С. ОСЕЛЕДЬКО: Это если мы говорим про Heartbleed. Ну, а если мы говорим в общем о защите?..

В. ЗАКОРЖЕВСКИЙ: Ну, я бы на самом деле добавил, в общем, да.

А. ПЛЮЩЕВ: Я даже подозреваю, что добавит нам Вячеслав Закоржевский, руководитель группы исследования уязвимостей Лаборатории Касперского.

С. ОСЕЛЕДЬКО: То есть, включить двухфакторную авторизацию там, где ее можно включить…

С. ИЛЬИН: А, в целом? Давай.

В. ЗАКОРЖЕВСКИЙ: На самом деле, действительно, такие советы весьма общие, но они действенные. То есть, как ни странно, например, установить в браузере настройку очищать сессию после закрытия браузера – это достаточно… немножко утомительно набирать каждый раз логин и пароль, но, с другой стороны, вы закрываете браузер – и все, можете быть уверенным, что даже если кто-то вашу сессию украдет, никто уже никуда не зайдет. Проверять предупреждения от браузера, верный ли сертификат или неверный. То есть, если сертификат неверный, то не рисковать, не заходить. То есть, да, лучше разобраться в чем-то, спросить у друга, который разбирается в этом…

А. ПЛЮЩЕВ: Прости, на шаг назад. Мало того, что логин и пароль, так еще и… у нас же у всех, мы уже выяснили, двухэтапная авторизация. Еще и код подтверждения через смс набирать каждый раз.

В. ЗАКОРЖЕВСКИЙ: Да.

А. ПЛЮЩЕВ: Да. Ждать смс...

В. ЗАКОРЖЕВСКИЙ: Каждый делает для себя выбор: либо удобство, либо безопасность. Очевидно, что любую систему безопасности можно обойти, любую, то есть, ну, любую систему в принципе. Тут стоит вопрос… то есть, чем больше факторов защиты, тем как бы меньше вероятность того, что удастся эту систему обойти, ну, или злоумышленнику просто, возможно, потребуется больше времени, для того чтобы обойти. В общем, как с автомобилями, когда их угоняют, то же самое. Так что, пользователи, более параноидальные пользователи, они, конечно, защищены больше. Но мы не говорим об абсолютной защите, как правильно заметил читатель или слушатель наш, что все можно обойти, да. Но такие общие советы, они помогают действительно.

А. ПЛЮЩЕВ: Я напоминаю, у нас в гостях директор по развитию Wallarm Степан Ильин, Вячеслав Закоржевский, руководитель группы исследования уязвимостей Лаборатории Касперского, Никита Кислицин, руководитель проекта по мониторингу ботнетов Group-IB. Говорим мы вообще о глобальных угрозах безопасности пользователей, в частности вот на примере того, что произошло две недели назад, точнее, стало известно две недели назад, с уязвимостью, которая получила известность под названием Heartbleed. Ваши вопросы всячески приветствуются, вдруг мы еще чего-то не рассказали. Вот смотрите, Лора спрашивает: «У меня на ноуте стоит KIS (это Kaspersky Internet Security). Я защищена от Heartbleed? Спасибо».

В. ЗАКОРЖЕВСКИЙ: В общем-то, вопрос…

А. ПЛЮЩЕВ: Не в бровь, а в глаз, мне кажется.

В. ЗАКОРЖЕВСКИЙ: Вопрос очевиден, конечно.

С. ИЛЬИН: Слава, будь честен.

В. ЗАКОРЖЕВСКИЙ: Я бы, конечно, хотел сказать, что вы защищены от этого, но очевидно, что проблема здесь на стороне…

Н. КИСЛИЦИН: Слава, я же тебе говорил, твой антивирус не работает, видишь.

В. ЗАКОРЖЕВСКИЙ: … на стороне сервиса. То есть, если тот сервис, которым вы пользуетесь, он уязвим, то никакой антивирус, к сожалению, не поможет, потому что вы отправите данные на сервер, и все, а там уже они находятся там. То есть, это не зависит от вашего компьютера, от антивируса. Если злоумышленник… если на сервере до сих пор не принят патч, то все можно украсть. Так что, к сожалению, в данном случае не могу вас обнадежить и сказать, что антивирус поможет. Это как раз тот случай, который не подвластен нам.

А. ПЛЮЩЕВ: Сергей из Барнаула спрашивает: «Если заходить в кабинеты через браузеры (то есть, авторизовываться через браузеры) в режиме инкогнито, это поможет?»

Н. КИСЛИЦИН: Никакой разницы.

В. ЗАКОРЖЕВСКИЙ: Нет, не поможет.

Н. КИСЛИЦИН: ... cookie не хранятся, то есть, вот сессия как бы гарантированно умрет, когда вы закроете вкладку, а так никакой разницы нет.

В. ЗАКОРЖЕВСКИЙ: Повышает на самом деле безопасность, но не значительно.

А. ПЛЮЩЕВ: Да, это поможет некоторой гигиене, о которой мы говорили...

В. ЗАКОРЖЕВСКИЙ: Да, вот как раз сессия…

А. ПЛЮЩЕВ: … но конкретно от этой уязвимости, конечно, нет. Еще хороший вопрос. Я даже не знал, что люди вот так изобретательно подходят на самом деле к безопасности. Мы с вами, друзья мои, знаем гораздо меньше способов, чем они. Вот Алиса из Самары спрашивает, то есть, ей это пришло в голову: «Может ли обезопасить от потери личных данных не указывать в интернет-магазине правдивые фимилию-имя-отчество о себе?» С. ИЛЬИН: Это может обезопасить от того, чтобы потом вам слали смски. Ну, сейчас довольно частый паттерн, просто заполняя какие-то анкеты, особенно в магазинах, не писать свои настоящие данные, настоящий, там, email, настоящий сотовый телефон, потому что это очень часто потом используется для массовых рассылок. Поэтому, если у вас есть такое желание быть дистанцированным от подобного рода спама, то лучше, конечно, не указывать. Но это спасет только от таких рассылок.

Н. КИСЛИЦИН: К сожалению, в случае с банками, там, волей неволей у вас есть данные, которые вы банку сообщаете, он их проверяет, в соответствии с законодательством. Конечно же, там выдумать подложный номер паспорта, имя и неправильный логин-пароль вводить – это не поможет. Вы должны вводить правильный логин-пароль, чтобы туда войти, поэтому…

А. ПЛЮЩЕВ: Я бы, знаете, какую еще штуку обсудил? У меня даже не столько вопрос, сколько соображение. Я уже боюсь ваших уничижительных взглядов здесь, поскольку я охотно делюсь своими соображениями, а они все время оказываются какими-то, в общем, глупыми. Смотрите, мне кажется, что вот тут штука… знаете, как вот в Средние века, когда говорили, там… даже не в Средние, а ныне тоже многие говорят: чума, там, или СПИД нам послан в наказание, чтобы мы задумались, знаете ли, о том, как мы живем вообще, праведно или нет. Ну, так и здесь. Heartbleed, может быть, нам послан был специально, чтобы мы задумались об интернет-гигиене, не знаю, о том, что надо регулярно менять пароли, там. Ну, я тоже, кстати, об этом не очень всегда задумываюсь, хотя, там, и ломали, и все. Вот. О том, что, рано или поздно, в общем, может какая-то штука случиться, которая… от которой не всегда можно защититься, даже если у тебя стоит хороший антивирус, допустим, и так далее. Мне кажется, есть в этом некий философский аспект тоже. Я ждал вот этой тишины…

(смех)

С. ИЛЬИН: Есть, конечно. На самом деле, мне кажется, у нас с каждым днем все больше и больше понимания, что абсолютно безопасных систем, их не существует, никогда не существовало и, скорее всего, не будет существовать. Всегда будут уязвимости, опасные тем, что какие-то данные будут украдены, всегда будут люди, которые будут стараться использовать эти уязвимости, всегда будут какие-то ошибки в программном обеспечении там, где, кажется, никаких проблем нету. Ну, это лишь как бы укрепляет наше видение мира современного. Это наша жизнь, надо с этим смириться.

А. ПЛЮЩЕВ: Время от времени пароли менять все равно не мешает.

С. ИЛЬИН: Да. Кстати, это интересно. Кто-нибудь из вас поменял пароль после того, как появилась информация о Heartbleed? Я, честно, не менял.

Н. КИСЛИЦИН: Я – нет.

С. ИЛЬИН: То есть, мы вот умные сейчас сидим такие, советуем, поменяйте пароли…

А. ПЛЮЩЕВ: Первым делом… Ты, знаешь, я на паре сервисов. Я так взялся, взялся: надо поменять. Потому что, ну, однажды меня взломали, и там по цепочке, от почты, значит, Твиттер и Фейсбук. И я все это менял – это жесть, конечно, на самом деле, вот это все. Двойную авторизация устанавливал, там, все. И я тут взялся, ну, думаю, надо пройти еще раз этот путь. В конце концов, тем более меня никто не подгоняет, ничего, я у пары поменял, так вздохнул, что-то меня отвлекло – и…

С. ИЛЬИН: Кстати, любопытно, что очень многие сервисы присылают сообщение такое, что вы, наверное, слышали уже об уязвимости Heartbleed, мы не будем подробно о ней рассказывать, но у нас есть все основания полагать, что ваш аккаунт мог быть скомпрометирован, поэтому поменяйте, пожалуйста, пароль у нас на сервисе, на всех остальных тоже.

Н. КИСЛИЦИН: Есть примеры, когда сервисы и принудительно сбрасывали пароль.

В. ЗАКОРЖЕВСКИЙ: Да, и сессию сбрасывали – Википедия, например.

С. ИЛЬИН: Да, но, кстати, вот сессию сбрасывать… я разговаривал с представителем крупной компании, очень крупной в России, они говорят, что мы не можем сбросить сессию, у всех сессию. Это значит, что всем пользователям придется завести логин и пароль заново. Они говорят: если мы вдруг сейчас сбросим у всех пользователей сессии, у нас служба поддержки умрет, потому что начинается сразу шквал звонков о том, что я забыл свой пароль, помогите мне его восстановить. Поэтому, вот есть проблемы такие. Поэтому крупные компании, они делают как? Они порционно, то есть, сначала у кусочка сбрасывают сессию, потом у другого…

Н. КИСЛИЦИН: Сбросить у тысячи пользователей, посмотреть, сколько раз тебе позвонят, да, и оценить, сколько звонков будет от миллиона.

С. ИЛЬИН: Да. Но правильные компании, конечно, и поменяли вовремя, пропатчили эту уязвимость, и попросили сбросить пароль, ну, так, чисто в превентивных целях, и сбросили, конечно, сессии. Поэтому, если вдруг вас кто-то попросил недавно ввести логин-пароль – это хороший знак, хороший сервис.

А. ПЛЮЩЕВ: Мы, к сожалению, не можем перечислить по просьбе Тани популярные сайты, на которых исправлена, значит, уязвимость, потому что их гигантское множество. Я думаю, что у всех ведущих, ну, наверняка, там, Mail, Яндекс, там, Фейсбук, Твиттер, не знаю, Gmail, ну, Гугл, наверняка уже исправлено, это без вопросов совершенно. Вот всякие небольшие, там, магазины, может быть, банки…

С. ИЛЬИН: На самом деле самая главная опасность сейчас в оборудовании, там, где используется OpenSSL. То есть, всевозможных амортизаторах, роутерах, устройствах, которые организуют VPN-соединение, потому что там этот OpenSSL использовался, он мог использоваться уязвимый. Для того, чтобы его обновить, соответственно, нужно обновлять прошивку этого оборудования – это совсем другое дело. Это оборудование стоит в огромном количестве компаний, у многих дома. И если нету человека, который за этим всем следит, есть все основания полагать, что это будет и год, и два, и три существовать, будет подобная уязвимость…

А. ПЛЮЩЕВ: Это интересная тема, вот особенно дома. Понятное дело, что дома, там, у миллионов людей, они вообще не имеют ни малейшего понятия, как у него обновлять прошивку.

С. ИЛЬИН: Ну, с точки зрения дома, это не так опасно. Ну, прочитает кто-то кусочек памяти с этого домашнего роутера, например. Ну, там, и ничего не перехватит особенно.

Н. КИСЛИЦИН: Там на домашних роутерах все-таки не так уж часто, чтобы что-то…

С. ИЛЬИН: Да. Опаснее, когда в компании используется это для организации VPN-соединения. Например, вот вчера была новость о том, что уязвимы многие роутера компании Juniper. И эти уязвимые роутеры можно просто найти, введя определенный запрос в Гугле. То есть, опять радость для школьников, все могут просто найти тем же самым инструментом Гугла эти уязвимые сервисы и попробовать. Отголоски этой уязвимости будут долго-долго нас преследовать.

А. ПЛЮЩЕВ: Слушайте, поступил вопрос, я не очень даже понимаю, что спрашивают. Может быть, поймете вы, вы же специалисты. «Какой процент веб-ресурсов использует хеширование и засолку пароля до отправки на сервер?» Что такое засолка пароля?

В. ЗАКОРЖЕВСКИЙ: А, добавление соли к хешу. На самом деле я думаю, что многие сервисы так делают…

Н. КИСЛИЦИН: Нет, до отправки, то есть, прям на клиентской стороне до отправки формы должны делать. Ну, не так уж и многие.

В. ЗАКОРЖЕВСКИЙ: Да, на самом деле тут очень сложно, надо проверять алгоритм работы сайта.

Н. КИСЛИЦИН: Мне кажется, что, может быть, 1%...

С. ИЛЬИН: Хорошо, если сервис это на стороне сервера делает. И в основном так все и делают на самом деле, все ведущие, все хорошие.

А. ПЛЮЩЕВ: Ну, все-таки мне очень нравится, что в ходе нашей программы наши слушатели задаются самыми разными темами и самыми какими-то невероятными совершенно вопросами. Например… мы не будем отвечать на этот вопрос, просто: «Опасно ли делать закладки сайтов в браузере, потому что появляется реклама товаров этих интернет-магазинов потом?» Ничего страшного, делайте, все нормально, все хорошо, а реклама – это вообще двигатель торговли.

Спасибо большое. С нами сегодня были директор по развитию компании Wallarm Степан Ильин, Вячеслав Закоржевский, руководитель группы исследования уязвимостей Лаборатории Касперского, Никита Кислицин, руководитель проекта по мониторингу ботнетов Group-IB. И Сергей Оселедько. Спасибо всем большое. Меня зовут Александр Плющев, я через час в программе под названием «Эходром» с вами встречусь. Всего доброго.