Статус «Кровоточащего сердца»: оновлення до «Розбитого»
Технології
Для інформації: У багатьох згадках цієї статті автори помилково називають мене співробітником Opera Software. Насправді я пішов з Opera більше року тому і сьогодні працюю в новій компанії - Vivaldi Technologies AS
Оновлення від 12 травня
Після ретельнішого дослідження проблеми спільно з F5 з'ясувалося, що тест, який використовується для виявлення серверів F5 BigIP, показував вищі числа, ніж це повинно бути, тому кількість подібних серверів виявилося при перевірці завищеним. Це означає, що відповідна інформація про сервери BigIP і висновки неправильні, тому я викреслюю розділ, присвячений серверам BigIP. Приношу вибачення F5 і їх клієнтам за цю помилку.
Передісторія
Як я вже розповідав у моїй попередній статті, кілька тижнів тому в бібліотеці OpenSSL була виявлена вразливість (CVE-2014-0160), що отримала гучну назву "Heartbleed" ". Ця вразливість дозволяла зловмисникам видобувати таку важливу інформацію, як, наприклад, користувальницькі паролі або закриті ключі шифрування сайтів, проникаючи на вразливі «захищені» веб-сервери (пояснюючий комікс).
В результаті, всі порушені даною напастю веб-сайти повинні були пропатчити свої сервери, а також виконати інші дії, щоб убезпечити своїх користувачів. Варто відзначити, що рівень небезпеки значно зріс після того, як інформація про вразливість розлетілася по мережі (було зафіксовано кілька серйозних подій і як мінімум один чоловік, який намагався використовувати Heartbleed в корисливих цілях, опинився під арештом).
Уповільнення активності використання патчу
Протягом декількох тижнів з дня виявлення вразливості я відстежував активність застосування виправного патчу за допомогою власного тестера TLS Prober. Зараз тестер сканує приблизно 500 000 окремих серверів, використовуючи зміни імен хостів у різних доменах (загальним числом 23 мільйони) з вибіркою близько мільйона веб-сайтів з Alexa Top.
Згідно з шістьма скануваннями, проведеними мною в період з 11 квітня, число вразливих серверів різко скоротилося з 5,36% від числа всіх перевірених серверів до 2,33% на цьому тижні. Близько 20% просканованих серверів підтримують Heartbeat TLS Extension, це говорить про те, що до 75% вразливих серверів було пропатчено протягом перших чотирьох днів після виявлення вразливості, тобто до мого першого сканування.
Однак, якщо за перші два тижні сканування число вразливих серверів скоротилося вдвічі - до 2,77%, в наступні пару тижнів ця цифра знизилася тільки до 2,33%, що вказує на майже повну зупинку процесу «лікування» вразливих серверів.
Взагалі, сканування показує, що сервери найбільш популярних веб-сайтів були пропатчені. Близько 73% сканованих веб-сайтів використовують сертифікати від Certificate Authority, розпізнавані браузерами, і тільки 30% вразливих веб-сайтів використовують подібні сертифікати. Все це трохи скорочує важливість проблеми в цілому, але навіть якщо якісь сервери виглядають малозначимими в масштабах всього інтернету, реальним користувачам даних серверів від цього не легше.
Є і не менш серйозна проблема: багато сертифікатів, які використовувалися вразливими серверами, продовжують використовуватися і на виправлених серверах. Фактично, якщо припустити, що всі сервери, які підтримували Heartbeat при першому скануванні, були перед цим вразливі, то 2/3 сертифікатів не були оновлені після виправлення серверів за допомогою патчу (оскільки вони виявилися тими ж самими, що і до виправлення серверів). Враховуючи, що кожен сервер, пропатчений після 7 квітня, імовірно володів скомпрометованим закритим ключем сертифіката (адже зловмисники могли використовувати Heartbleed на цих серверах), можна говорити про серйозну проблему, яка досі загрожує користувачам подібних веб-сайтів.
Крім того, копання в цифрах виявило ще дві проблеми.
Число вразливих серверів F5 BigIP залишається стабільним
Перша проблема полягає в тому, що абсолютне число серверів F5 BigIP (потужні прискорювачі SSL/TLS) з певною конфігурацією, що використовує вразливі версії OpenSSL, залишається незмінним. Виявити BigIP сервери сьогодні дуже легко, оскільки вони мають проблеми з певними видами квитування TLS.
Правда, графік виглядає трохи дивно, оскільки дані види серверів BigIP насправді були пропатчені навіть краще, ніж основна маса серверів, що підтримують Heartbeat.
Причина того, що абсолютне число вразливих серверів BigIP залишалося незмінним, криється в наступному: число серверів BigIP включаючи ті, що використовують OpenSSL версії 1.0.1 (з підтримкою Heartbeat), було подвоєно за останній місяць (після повільного зниження за останні пару років), і багато новоспечених серверів використовують вразливу версію бібліотеки OpenSSL.
Я припускаю, що частково проблема створена новими власниками серверів BigIP: можливо, вони просто забули оновити оригінальне серверне ПЗ після його встановлення.
Враховуючи, що сервери BigIP як правило використовуються для обслуговування великої кількості користувачів, можна припустити, що всі вони мають досить серйозні проблеми з безпекою.
Оновлення до «Розбитого серця»
Друга проблема також пов'язана з числом вразливих серверів BigIP, але виглядає набагато гірше: при моєму останньому скануванні було виявлено 20% вразливих на поточний момент серверів (вибіркою за IP), і 32% (!) вразливих серверів BigIP, які не були вразливі під час попередніх перевірок. Це означає, що тисячі сайтів, які раніше не мали проблем з Heartbleed, тепер ці проблеми отримали!
Можна було б припустити, що виявлені цифри неправильні, оскільки аналіз передбачає незмінність IP адрес серверів, що відбувається не завжди. Однак, застосування тієї ж методики для перевірки сертифікатів серверів показує таку ж тенденцію.
Важко сказати точно, звідки ця проблема з'явилася, але одна з можливостей полягає в тому, що підвищена увага до теми з боку засобів масової інформації змусила адміністраторів серверів засумніватися в тому, що їхні сервери досить безпечні. До цього міг додатися тиск з боку начальства з вимогою «не сидіти склавши руки», в результаті проводилося оновлення ПЗ цілком захищених від напасті серверів до нової версії, яка на той момент ще не була виправлена самими розробниками.
Для виправлення цієї проблеми власникам вразливих серверів доведеться знову пройти всю процедуру накладення патчу, що призведе до грошових витрат, яких насправді можна було уникнути. Орієнтовно, накладення патчу, заміна сертифіката та проведення відповідного тестування потребуватиме роботи трьох системних адміністраторів протягом чотирьох годин. При вартості кожного адміногодини в $40, приблизний загальний розмір зайвих витрат на виправлення 2500 «хворих» серверів (у моєму прикладі) може скласти близько $1,2 млн. А враховуючи, що моє тестування охоплює лише близько 10% всіх серверів в мережі, загальний обсяг непередбачених витрат складе $12 млн.
Heartbleed є дуже серйозною проблемою і виправлення даної вразливості необхідно зробити всім порушеним даним «нещастям» серверам, але я починаю думати, що активність тематичної преси, яка страждає масою неточностей і дає передчасні поради (таких, як, наприклад, «замініть свій пароль негайно!» не чекаючи оновлення ПО сервера або «анулювання сертифікатів у зв'язку з Heartbleed значно сповільнить швидкість роботи в мережі»), є, в якійсь мірі, контрпродуктивним.
Вищезгадані дані про сервери, які були «оновлені» і таким чином стали вразливими для проблеми, яка раніше їх не стосувалася, можуть бути результатом спотвореного висвітлення проблеми в пресі.
Мої рекомендації залишаються незмінними: спочатку встановлюємо виправляючий патч, потім оновлюємо сертифікати, і тільки потім змінюємо паролі (саме в такій послідовності). Тематичні журналісти повинні сконцентруватися саме на цьому, а всі панічні настрої потрібно виключити повністю. Дотримуйтеся фактичної точності під час обговорення проблеми, пропонуйте читачам способи перевірки (чи можуть вони стати жертвою вразливості), наприклад, розкажіть про існуючі програмні інструменти, такі, як Тестер серверів від SSL Labs, і не забувайте розповісти, як можна позбутися проблеми.
