...

четверг, 10 апреля 2014 г.

Почему после обнаружения Heartbleed мы не предлагаем пользователям Почты Mail.Ru менять пароли

Короткий ответ на вопрос, озвученный в заголовке: потому, что этого не требуется. Heartbleed, одна из самых критичных уязвимостей в истории OpenSSL, не ударила по нашим пользователям. Чуть более подробный ответ – под катом.




Мы, как и многие другие сервисы, используем библиотеку OpenSSL в наших проектах, однако бОльшая часть наших серверов, включая почтовые, оказались вне зоны риска. На многих наших проектах мы используем OpenSSL 1.0.0, которая оказалась неуязвима к атаке.


Тем не менее, мы не спешили расслабляться – сначала нужно было проверить остальные проекты. На коленке был написан NSE-скрипт к Nmap, эксплуатирующий уязвимость, и уже через полчаса мы получили список машин с уязвимыми версиями OpenSSL.


Уязвимыми для атак оказались серверы нашей баннерной системы и несколько контент-проектов. Немного паники, и к 14:00 8 апреля уязвимость была запатчена.


Хотя на этих проектах Heartbleed не давала возможности получить доступ к личным данным, логинам или паролям пользователей, злоумышленники всё же могли получить авторизационные сессии (cookie) случайных людей, а так же потенциально скомпрометировать наши SSL-сертификаты.


Разбираться с SSL-сертификатами мы начали немедленно. Все критичные сертификаты уже перевыпущены и будут заменены, работа по замене остальных продолжается.


Что же касается авторизационных сессий пользователей, то и тут мы были защищены. На наших критически важных проектах работает так называемое разделение сессий. Суть его в следующем: если даже злоумышленник так или иначе завладеет авторизационной сессией пользователя, то с её помощью он не сможет получить доступ к другим проектам портала.


Может быть, прогноз Codenomicon сбудется, и Heartbleed действительно станет для многих сервисов поводом усилить систему безопасности. Для нас вся эта история сыграла роль учебной тревоги – мы потренировались быстро реагировать на сообщение об угрозе и оперативно закрывать все лазейки. Ну и, пожалуй, говорить злоумышленникам «no pasarán!».


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.


Комментариев нет:

Отправить комментарий