Аннотация переводчика Моя тема должна заполнить определенный пробел в теме «Чем Heartbleed грозит обычному пользователю», спасибо ФФФ за пост: habrahabr.ru/post/219151 Уязвимости клиента никто не отменял.
Но если топовые платежные сервисы отвечают в течение 24 часов, то как долго ждать обновлений от производителя смартфона или, скажем, Smart TV ? Плохой сайт легко может распотрошить память клиента - непропатченного браузера, смартфона, планшета, слишком умный Телевизор, видео- или игровая консоль и т. д. Любое устройство, которое может загружать веб-страницы (включая домашний Linux) и одновременно обрабатывать конфиденциальные данные, становится мишенью, иногда на долгие годы.
Предлагаю вам перевод статьи Роба Ванденбринка ( Роб ВанденБринк ) в целом это не заняло много времени.
Другая сторона Heartbleed: уязвимости клиентов
Мы получили сообщения о клиентских приложениях, уязвимых к угрозе Heatbleed. Как и в случае с серверными приложениями, уязвимость клиента определяется версией OpenSSL. Думаете, это еще один случай из серии «ждите исправлений»? Обновление произойдет, когда поставщик.так что, подождите минутку.
А когда именно производитель вашего смарт ТВ пообещал выпустить исправление для встроенного в телевизор браузера? И когда вы планировали его установить? А как насчет телевизора брата моей жены? Похоже, эта клиентская уязвимость проживет гораздо дольше всех серверных.
Имеем неприятное сочетание уязвимости Heartbleed со спецификой встраиваемых устройств, которые могут не обновляться.
никогда никогда .
Либо они обновляются в течение пары лет после выпуска, а когда выходит новая модель, производитель просто бросает их на произвол судьбы.
Хорошими примерами являются домашние маршрутизаторы и смарт-телевизоры, но можно использовать и медицинские устройства.
Очень солидным дополнением к теме являются Android-устройства, которые продает и обслуживает оператор связи, минуя производителя кода (Google): обновления у таких устройств либо редко, либо отсутствуют вовсе, но широко используются.
Первое, что обычно приходит на ум, это, конечно же, приложения онлайн-банкинга.
Результатом является сочетание потребительского продукта и уязвимости, которая открывает доступ к его памяти практически любому вредоносному (или взломанному) серверу.
Это потенциальное оружие массового поражения с длительным жизненным циклом устройства (годы, а не недели или месяцы).
Другие зашифрованные приложения, о которых мы не привыкли думать как о «клиентах», включают в себя: традиционное программное обеспечение баз данных, клиенты облачных сервисов, специальные программы-браузеры для развлекательных порталов и даже драйверы устройств.
Недостаточно просто сказать «такое-то приложение уязвимо», его можно использовать на вашем ПК, планшете, смартфоне, телевизоре, видеоприставке, тренажере, холодильнике, климат-контроле — список все растет и растет. , в сторону все более мелких устройств, которые нужно обновлять уж точно никто делать не собирается.
Вот лишь некоторые уязвимые приложения (@teleghost: этот список упоминался несколько раз, немного дополнялся, источники в ссылках):
- MariaDB 5.5.36 (@telehost: спорный )
- wget 1.15 (разблокирует память о предыдущих подключениях и их состоянии)
- локон 7.36.0
- git 1.9.1 (проверено клонирование/push, слабая утечка)
- nginx 1.4.7 (в режиме прокси открывает память предыдущих запросов) (@teleghost: спорный )
- ссылки 2.8 (раскрывает содержание предыдущих посещений!)
- Все приложения KDE, использующие KIO (Dolphin, Konqueror)
- AnyConnect для Apple iOS
- Клиент Juniper Odyssey 802.1x 5.6r5 и более поздних версий
- Различные версии VPN-клиента Junos Pulse
- ОпенВПН
- .
Заключение переводчика
Мое личное мнение, что в течение нескольких недель или месяцев силы зла будут собирать жирную пену, сливки и тому подобную сметану из платежных систем и банковских сервисов, и только после этого они перейдут на наш повседневный уровень.Сначала мы пройдемся по всему, что так или иначе связано с платежными картами и платными услугами.
Затем, когда технология распространится, люди просто будут воровать пароли ко всему.
Хуже всего обстоят дела со смарт-телевизорами и некоторыми моделями смартфонов, где обновлений можно ждать годами и так и не получить.
Если раньше я понимал, что моим смартфоном может воспользоваться только АНБ, то теперь это может быть любой средненький мошенник.
Уже не так смешно, правда? Береги себя.
Ссылки
isc.sans.edu/forums/diary/The+Other+Side+of+Heartbleed+-+Client+Vulnerabilities/17945 Security.stackexchange.com/questions/55119/does-the-heartbleed-vulnerability-affect-clients-as-severely Community.openvpn.net/openvpn/wiki/heartbleed Теги: #heartbleed #openssl #уязвимости #смартфон #планшет #шпионские смартфоны #vpn #безопасность #АНБ #информационная безопасность-
Знакомство С Flex 3
19 Oct, 24 -
Как Я Получал Паспорт Через Госуслуги.ру
19 Oct, 24 -
Слово В Защиту Биткойна
19 Oct, 24 -
Как Я Спасу Мир
19 Oct, 24
