Обеспокоиться следует всем владельцам смартфонов, использующих версию Android 4.1.1. Потому как выяснилось, что в пакете их защиты OpenSSL есть «дыра», в которую могло при желании залезать не только Агентство национальной безопасности США, чьим сотрудником являлся Эдвард Сноуден, но и любые хакеры.

Для определения того, какая версия Android установлена на устройстве, следует зайти в раздел «Настройки», затем в раздел «Об устройстве». Если это Android 4.1.1, то проверьте его уязвимость, скачав из Google Play бесплатное приложение Heartbleed Detector. И если враг уже залез к вам, то поторопитесь от него избавиться.

Как говорится в официальных сообщениях, с момента, когда мир узнал об этой бреши, не все в короткий срок смогли ее заделать. «Эти несколько часов были самыми опасными — о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить», — подчеркивают в Яндексе.

Но тут следует внести одно существенное уточнение. Этой «дыре» уже два года. Но, как нас утешают, о ней никто не подозревал до ее недавнего обнаружения. С чем позвольте не согласиться, так как в открытом доступе имеется информация противоположного свойства. Эта уязвимость была выявлена после проведения хакерского конкурса, организованного CloudFare. Причем победитель его нашел «дыру» уже через три часа после получения задания.

Обращает на себя внимание полярность объяснений происходящего. Одни утверждают, что причиной является «детская» ошибка, которую совершил некий немецкий программист. Другие, наоборот, говорят, что для выявления этой проблемы нужна была целенаправленная работа большой группы квалифицированных специалистов. Но все сходятся в одном: случившееся — это настоящая катастрофа. Если оценивать ее по 10-балльной шкале, то это 11. И вот почему.

Связанное с сервером клиентское приложение с определенной частотностью

отправляет на него запросы, дабы убедиться в том, что соединение не разорвано. Такая функция называется «Heartbeet», в переводе «сердцебиение». В ответ на такой запрос сервер высылает некий пакет данных клиенту. Но, как оказалось, некоторые версии библиотеки OpenSSL, установленные на серверах, исполняют даже некорректные клиентские запросы и переправляют в ответ фрагмент из оперативной памяти. Отсюда и название ошибки — «Heartbleed» («кровоточащее сердце»). И здесь могут содержаться сведения других клиентов, например, пароли и логины пользователей, а также иная приватная информация. Причем эта информация, как подтвердили независимые исследования, может считываться без обнаружения этого факта жертвой.

Через использование Heartbleed появляется возможность получения доступа к так называемому «сертификату безопасности». При этом фальшивый сертификат без затруднений проходит проверку на подлинность ресурса, с его помощью создается поддельный сайт, внешне аналогичный исходному. И последний начинает собирать личную информацию пользователей, в том числе данные пластиковых карточек и банковских счетов.

Пакет OpenSSL — базовый компонент, которому в Сети априори доверяли. И большинство сайтов завязаны на него. Поэтому любое устройство, на котором установлен такой пакет, остается уязвимым для взломщиков. Так что, от греха подальше, всем пользователям Интернета рекомендовано сменить пароли от ящиков электронной почты, страниц в социальных сетях и других онлайновых сервисов.

Естественно, что, как всегда, не обошлось без конспирологических предположений, которые подогреваются двумя обстоятельствами. Было отмечено, что на таких сайтах, как порталы государственных органов различных государств и банков, «Кровоточащее сердце» отсутствует. А авторитетное агентство Bloomberg вообще заявило, что в АНБ с самого начала знали о «дыре» в системе защиты и беззастенчиво этим пользовались.

Под последнее, к слову, есть и законодательная база. Если раньше АНБ было обязано публично сообщать об обнаружении уязвимостей в интернет-протоколах и протоколах шифрования, то теперь президент Барак Обама разрешил им этого не делать, если выявленные «дыры» представляют «очевидный интерес для служб национальной безопасности и органов исполнительной власти», — написано в принятом документе. Потому как все это может использоваться для взлома каналов связи и разработки кибероружия.

Более того, есть мнение, что АНБ вообще выступало в роли заказчика «дыры». Потому как американцы на чем-то подобном уже попадались. Так, ранее сообщалось, что создатели криптосистемы RSA обвинялись в получении от АНБ порядка $10 млн, а в обмен оставили «лазейку» для шпионажа в пользу США. Притом что с чисто математической точки зрения это очень крепкая и удобная система шифрования, а потому ее начали использовать в самых ответственных ипостасях — при банковских транзакциях, к примеру. Вряд ли АНБ воровало деньги с чужих счетов. Однако, располагая исчерпывающей информацией о деятельности банков, в деталях узнавало о финансовом положении предприятий, бизнесменов, целых государств.

Сегодня, когда геополитические конфликты переходят в открытую фазу, более актуальной становится другая угроза: то же самое АНБ наверняка имеет возможность, отдав шифрованную команду по Интернету, нарушить работу разнообразного программно-аппаратного оборудования.

Прецеденты уже были еще в советские времена. В 1980-е годы СССР установило на свой газопровод закупленное в Канаде компьютерное оборудование. Советским экспертам не удалось выявить «бомбу», и в определенный момент компьютеры отдали вредоносную команду, которая привела к взрыву на газопроводе и человеческим жертвам. А сегодня могут вдруг выключиться сотовые телефоны, планшеты и компьютеры.