Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Для использования в других целях, см Heartbleed (значения) .

Heartbleed
Heartbleed.svg
Логотип, представляющий Heartbleed. Охранная компания Codenomicon дала Heartbleed название и логотип, чтобы привлечь внимание общественности к проблеме. [1] [2]
Идентификатор (ы) CVECVE-2014-0160
Вышел1 февраля 2012 г . ; 9 лет назад ( 2012-02-01 )
Дата обнаружения1 апреля 2014 г . ; 6 лет назад ( 2014-04-01 )
Дата исправления7 апреля 2014 г . ; 6 лет назад ( 2014-04-07 )
ПервооткрывательНил Мехта
Затронутое программное обеспечениеOpenSSL (1.0.1)
Интернет сайтheartbleed .com

Heartbleed был ошибкой безопасности в библиотеке криптографии OpenSSL , которая является широко используемой реализацией протокола безопасности транспортного уровня (TLS). Он был введен в программное обеспечение в 2012 году и публично раскрыт в апреле 2014 года. Heartbleed может быть использован независимо от того, работает ли уязвимый экземпляр OpenSSL в качестве TLS-сервера или клиента. Это произошло из-за неправильной проверки ввода (из-за отсутствия проверки границ ) в реализации расширения пульса TLS . [3] Таким образом, название ошибки происходит от сердцебиения . [4] Уязвимость классифицирована как чрезмерное чтение буфера., [5] ситуация, когда можно прочитать больше данных, чем должно быть разрешено. [6]

Heartbleed был зарегистрирован в базе данных Common Vulnerabilities and Exposures как CVE - 2014-0160 . [5] Федеральный канадский центр реагирования на киберинциденты выпустил бюллетень по безопасности, информирующий системных администраторов об ошибке. [7] Фиксированная версия OpenSSL была выпущена 7 апреля 2014 года, в тот же день, когда Heartbleed было публично раскрыто. [8]

Системные администраторы часто не спешили исправлять свои системы. По состоянию на 20 мая 2014 года 1,5% из 800 000 самых популярных веб-сайтов с поддержкой TLS все еще были уязвимы для Heartbleed. [9] По состоянию на 21 июня 2014 г. 309 197 общедоступных веб-серверов оставались уязвимыми. [10] По состоянию на 23 января 2017 года , согласно отчету [11] от Shodan , почти 180 000 подключенных к Интернету устройств все еще оставались уязвимыми. [12] [13] По состоянию на 6 июля 2017 года их число упало до 144 000, согласно поиску на shodan.io по запросу «vuln: cve-2014-0160». [14] По состоянию на 11 июля 2019 г. , Шодан сообщил [15]что 91 063 устройства оказались уязвимыми. Первыми оказались США с 21 258 (23%), в 10 ведущих странах - 56 537 (62%), а в остальных странах - 34 526 (38%). В отчете также были разбиты устройства по 10 другим категориям, таким как организация (в тройку лидеров вошли компании, занимающиеся беспроводной связью), продукты (Apache httpd, nginx) или услуги (https, 81%).

TLS , кроме OpenSSL реализации, такие как GnuTLS , Mozilla «s Network Security Services , а также реализация платформы Windows , в TLS , не были затронуты , так как дефект существовал в реализации OpenSSL о TLS , а не в самом протоколе. [16]

История [ править ]

Расширение Heartbeat Extension для протоколов Transport Layer Security (TLS) и Datagram Transport Layer Security (DTLS) было предложено в качестве стандарта в феврале 2012 года RFC 6520 . [17] Это дает возможность тестировать и поддерживать безопасные каналы связи без необходимости каждый раз заново согласовывать соединение. В 2011 году один из авторов RFC, Робин Сеггельманн, тогда доктор философии. Студент Высшей школы Мюнстера внедрил расширение Heartbeat для OpenSSL. Следуя просьбе Сеггельмана поместить результат своей работы в OpenSSL, [18] [19] [20] его изменение было рассмотрено Стивеном Н. Хенсоном, одним из четырех основных разработчиков OpenSSL. Хенсон не заметил ошибки в реализации Сеггельмана и 31 декабря 2011 года представил ошибочный код в репозитории исходного кода OpenSSL. Дефект распространился с выпуском OpenSSL версии 1.0.1 14 марта 2012 года. Поддержка Heartbeat была включена по умолчанию, что привело к уязвимые версии. [21] [22]

Открытие [ править ]

По словам Марка Дж. Кокса из OpenSSL, Нил Мехта из группы безопасности Google в частном порядке сообщил о Heartbleed команде OpenSSL 1 апреля 2014 года в 11:09 UTC. [23]

Ошибка была названа инженером Synopsys Software Integrity Group, финской компании по кибербезопасности, которая также создала логотип с кровоточащим сердцем и запустила домен heartbleed .com, чтобы объяснить ошибку общественности. [24] Хотя группа безопасности Google сначала сообщила о Heartbleed OpenSSL, и Google, и Codenomicon обнаружили его независимо примерно в одно и то же время. [25] [26] Codenomicon сообщает 3 апреля 2014 года как дату их обнаружения и дату уведомления NCSC - FI для координации уязвимостей. [27]

На момент раскрытия информации около 17% (около полумиллиона) защищенных веб-серверов Интернета, сертифицированных доверенными органами, считались уязвимыми для атаки, что делало возможным кражу закрытых ключей серверов, а также файлов cookie и паролей сеансов пользователей. [28] [29] [30] [31] [32] Фонд Electronic Frontier , [33] Ars Technica , [34] и Брюс Шнайер [35] сочли ошибку Heartbleed «катастрофической». Обозреватель Forbes по кибербезопасности Джозеф Стейнберг написал:

Кто-то может возразить, что Heartbleed - наихудшая обнаруженная уязвимость (по крайней мере, с точки зрения ее потенциального воздействия) с тех пор, как коммерческий трафик начал течь в Интернете. [36]

Представитель британского кабинета министров рекомендовал:

Людям следует посоветоваться по поводу смены паролей на веб-сайтах, которые они используют. Большинство веб-сайтов исправили ошибку и лучше всего могут посоветовать, какие действия нужно предпринять, если таковые имеются. [37]

В день раскрытия информации The Tor Project сообщил:

Если вам нужна строгая анонимность или конфиденциальность в Интернете, вы можете полностью отказаться от Интернета в течение следующих нескольких дней, пока все уляжется. [38]

The Sydney Morning Herald опубликовала график открытия 15 апреля 2014 года, показав, что некоторым организациям удалось исправить ошибку до ее публичного раскрытия. В некоторых случаях непонятно, как они узнали. [39]

Исправление и развертывание [ править ]

Бодо Мёллер и Адам Лэнгли из Google подготовили исправление для Heartbleed. Полученный патч был добавлен в систему отслеживания проблем Red Hat 21 марта 2014 года. [40] Стивен Н. Хенсон применил исправление к системе контроля версий OpenSSL 7 апреля. [41] В тот же день была выпущена первая исправленная версия 1.0.1g. По состоянию на 21 июня 2014 г. 309 197 общедоступных веб-серверов оставались уязвимыми. [10] По состоянию на 23 января 2017 года , согласно отчету [11] Shodan, почти 180 000 подключенных к Интернету устройств все еще оставались уязвимыми. [12] [13] По состоянию на 6 июля 2017 года их число снизилось до 144 000., согласно поиску на shodan.io по запросу "vuln: cve-2014-0160". [14]

Продление и отзыв сертификата [ править ]

По данным Netcraft , около 30 000 из 500 000+ сертификатов X.509, которые могли быть скомпрометированы из-за Heartbleed, были перевыпущены к 11 апреля 2014 года, хотя меньше было отозвано. [42]

К 9 мая 2014 года только 43% затронутых веб-сайтов перевыпустили свои сертификаты безопасности. Кроме того, в 7% повторно выпущенных сертификатов безопасности использовались потенциально скомпрометированные ключи. Netcraft заявил:

При повторном использовании одного и того же закрытого ключа сайт, затронутый ошибкой Heartbleed, по-прежнему сталкивается с теми же рисками, что и сайты, которые еще не заменили свои сертификаты SSL . [43]

В eWeek говорится: «[Heartbleed], вероятно, останется риском в течение месяцев, если не лет, в будущем». [44]

Эксплуатация [ править ]

Агентство дохода Канады сообщило о краже социального страхования чисел , принадлежащих к 900 налогоплательщикам, и сказал , что они были доступны через эксплоит жук в течение 6-часового периода 8 апреля 2014 г. [45] После обнаружения атаки, агентство закрыло свой веб-сайт и продлило срок подачи налоговых деклараций с 30 апреля до 5 мая. [46] Агентство заявило, что будет предоставлять услуги по защите кредита бесплатно всем пострадавшим. 16 апреля RCMP объявил, что они обвинили студента, изучающего информатику, в связи с кражей с несанкционированным использованием компьютера и нанесением вреда данным . [47] [48]

У британского сайта для родителей Mumsnet было похищено несколько учетных записей пользователей, а его генеральный директор выдал себя за другое лицо . [49] Позже сайт опубликовал объяснение инцидента, в котором говорилось, что он произошел из-за Heartbleed, и технический персонал немедленно исправил его. [50]

Исследователи антивирусного ПО также использовали Heartbleed в своих интересах для доступа к секретным форумам, используемым киберпреступниками. [51] Исследования также проводились путем преднамеренной установки уязвимых машин. Например, 12 апреля 2014 года по крайней мере два независимых исследователя смогли украсть закрытые ключи с экспериментального сервера, специально настроенного для этой цели CloudFlare . [52] [53] Кроме того, 15 апреля 2014 г. Дж. Алекс Халдерман , профессор Мичиганского университета , сообщил, что его приманкаserver, намеренно уязвимый сервер, предназначенный для привлечения атак с целью их изучения, подвергся многочисленным атакам из Китая. Халдерман пришел к выводу, что, поскольку это был довольно малоизвестный сервер, эти атаки, вероятно, были широкомасштабными атаками, затронувшими большие области Интернета. [54]

В августе 2014 года стало известно, что уязвимость Heartbleed позволила хакерам украсть ключи безопасности у Community Health Systems , второй по величине коммерческой сети больниц США в Соединенных Штатах, что поставило под угрозу конфиденциальность 4,5 миллионов историй болезни пациентов. Нарушение произошло через неделю после того, как Heartbleed впервые было обнародовано. [55]

Возможное предварительное знание и использование [ править ]

Многие крупные веб-сайты исправили ошибку или отключили расширение Heartbeat Extension в течение нескольких дней после его объявления [56], но неясно, знали ли потенциальные злоумышленники об этом раньше и в какой степени оно использовалось. [ необходима цитата ]

На основании изучения журналов аудита исследователями было сообщено, что некоторые злоумышленники могли использовать уязвимость в течение как минимум пяти месяцев до обнаружения и объявления. [57] [58] Errata Security указала, что широко используемая невредоносная программа под названием Masscan , представленная за шесть месяцев до раскрытия информации Heartbleed, внезапно прерывает соединение во время квитирования так же, как Heartbleed, создавая те же сообщения журнала сервера. , добавив: «Две новые вещи, вызывающие одинаковые сообщения об ошибках, могут показаться коррелированными, но, конечно, это не так. [59] »

Согласно Bloomberg News , два неназванных инсайдерских источника сообщили ему, что Агентство национальной безопасности США было осведомлено об этой уязвимости вскоре после ее появления, но, - «вместо того, чтобы сообщать о ней», - держало ее в секрете среди других незарегистрированных уязвимостей нулевого дня, чтобы избежать использовать его в собственных целях АНБ. [60] [61] [62] АНБ опровергло это утверждение, [63] как и Ричард А. Кларк , член Национальной разведывательной группы по разведке и коммуникационным технологиям, которая проанализировала политику США в области электронного наблюдения; 11 апреля 2014 года он сказал агентству Рейтер, что АНБ не знало о Heartbleed.[64] Обвинение побудило американское правительство впервые сделать публичное заявление о своей политике уязвимостей нулевого дня, приняв рекомендацию отчета группы проверки за 2013 год, которая утверждала «почти во всех случаях, что широко используемый код , в национальных интересах устранить уязвимости программного обеспечения, а не использовать их для сбора разведданных США », и заявив, что решение об отказе должно быть принято АНБ в Белый дом. [65]

Поведение [ править ]

Изображение Heartbleed.

RFC 6520 Heartbeat Extension тестирует TLS / DTLS защищенные каналы связи, позволяя компьютеру на одном конце соединения для отправки запроса Heartbeat сообщение, состоящее из полезной нагрузки, как правило , в текстовой строке, наряду с длиной полезной нагрузки в виде 16-разрядного целого числа . Затем принимающий компьютер должен отправить точно такую ​​же полезную нагрузку обратно отправителю. [ необходима цитата ]

Затронутые версии OpenSSL выделяют буфер памяти для сообщения, которое должно быть возвращено, на основе поля длины в запрашивающем сообщении, без учета фактического размера полезной нагрузки этого сообщения. Из-за того, что не удалось выполнить надлежащую проверку границ , возвращаемое сообщение состоит из полезной нагрузки, за которой, возможно, следует что-то еще, что находится в выделенном буфере памяти. [ необходима цитата ]

Таким образом, Heartbleed используется путем отправки искаженного запроса пульса с небольшой полезной нагрузкой и полем большой длины уязвимой стороне (обычно серверу), чтобы вызвать ответ жертвы, позволяя злоумышленникам прочитать до 64 килобайт памяти жертвы, что было вероятно ранее использовался OpenSSL. [66]Если запрос Heartbeat Request может потребовать от стороны «отправить обратно четырехбуквенное слово« птица »», в результате будет получен ответ «птица», «Heartbleed Request» (злонамеренный запрос сердечного ритма) «отправить обратно 500-буквенный запрос». слово «птица» заставляло жертву возвращать слово «птица», за которым следовали все 496 последующих символов, которые жертва имела в активной памяти. Таким образом, злоумышленники могут получать конфиденциальные данные, нарушая конфиденциальность сообщений жертвы. Хотя злоумышленник имеет некоторый контроль над размером раскрытого блока памяти, он не может контролировать его местоположение и, следовательно, не может выбрать, какой контент раскрывается. [ необходима цитата ]

Затронутые установки OpenSSL [ править ]

Затронутые версии OpenSSL: OpenSSL 1.0.1–1.0.1f (включительно). Последующие версии (1.0.1g [67] и новее) и предыдущие версии (ветка 1.0.0 и старше) не уязвимы. [68] Установки уязвимых версий уязвимы, если OpenSSL не был скомпилирован с -DOPENSSL_NO_HEARTBEATS . [69] [70]

Уязвимая программа и функция [ править ]

Уязвимые исходные файлы программы - это t1_lib.c и d1_both.c, а уязвимые функции - это tls1_process_heartbeat () и dtls1_process_heartbeat (). [71] [72]

Патч [ править ]

Проблему можно решить, игнорируя сообщения Heartbeat Request, которые запрашивают больше данных, чем требуется для их полезной нагрузки.

Версия 1.0.1g OpenSSL добавляет некоторые проверки границ для предотвращения переполнения буфера. Например, был представлен следующий тест, чтобы определить, вызовет ли запрос сердцебиения Heartbleed; он молча отклоняет злонамеренные запросы.

if  ( 1  +  2  +  payload  +  16  >  s -> s3 -> rrec . length )  return  0 ;  / * молча отбрасывать согласно RFC 6520 сек. 4 * /

Система контроля версий OpenSSL содержит полный список изменений. [41]

Воздействие [ править ]

Данные , полученные с помощью атаки Heartbleed может включать незащищенную обмены между TLS сторон , вероятно, будет конфиденциальной, включая любые формы почтовых данные в запросах пользователей. Более того, представленные конфиденциальные данные могут включать секреты аутентификации, такие как файлы cookie сеанса и пароли, которые могут позволить злоумышленникам выдавать себя за пользователя службы. [73]

Атака также может раскрыть закрытые ключи скомпрометированных сторон [21] [74], которые позволят злоумышленникам расшифровать сообщения (будущий или прошлый сохраненный трафик, захваченный посредством пассивного перехвата, если не используется идеальная прямая секретность , и в этом случае может быть использован только будущий трафик. расшифровывается при перехвате с помощью атак типа "злоумышленник в середине" ). [ необходима цитата ]

Злоумышленник, получивший аутентификационный материал, может выдать себя за владельца материала после того, как жертва установила исправление Heartbleed, пока материал принимается (например, до тех пор, пока не будет изменен пароль или закрытый ключ не будет отозван). Таким образом, Heartbleed представляет собой серьезную угрозу конфиденциальности. Однако злоумышленник, выдающий себя за жертву, также может изменить данные. Таким образом, косвенно последствия Heartbleed могут выходить далеко за рамки нарушения конфиденциальности для многих систем. [75]

Опрос взрослых американцев, проведенный в апреле 2014 года, показал, что 60 процентов слышали о Heartbleed. Среди тех, кто пользуется Интернетом, 39 процентов защитили свои онлайн-аккаунты, например, путем изменения паролей или аннулирования аккаунтов; 29% считают, что их личная информация подверглась риску из-за ошибки Heartbleed; и 6% считали, что их личная информация была украдена. [76]

Уязвимость на стороне клиента [ править ]

Хотя ошибка привлекла больше внимания из-за угрозы, которую она представляет для серверов, [77] клиенты TLS, использующие затронутые экземпляры OpenSSL, также уязвимы. В том, что The Guardian назвало Reverse Heartbleed , вредоносные серверы могут использовать Heartbleed для чтения данных из памяти уязвимого клиента. [78] Исследователь безопасности Стив Гибсон сказал о Heartbleed, что:

Это не только уязвимость на стороне сервера, это также уязвимость на стороне клиента, потому что сервер или кто бы то ни было, к кому вы подключаетесь, может запросить у вас ответное сердцебиение так же, как и вы, чтобы попросить их. [79]

Украденные данные могут содержать имена пользователей и пароли. [80] Reverse Heartbleed затронул миллионы экземпляров приложений. [78] Некоторые уязвимые приложения перечислены в разделе «Программные приложения» ниже . [ необходима цитата ]

Затронуты определенные системы [ править ]

Cisco Systems определила 78 своих продуктов как уязвимые, включая системы IP-телефонии и системы телеприсутствия (видеоконференцсвязи). [81]

Веб-сайты и другие онлайн-сервисы [ править ]

Анализ наиболее посещаемых веб-сайтов 8 апреля 2014 г., опубликованный на GitHub, выявил уязвимости на таких сайтах, как Yahoo! , Imgur , Stack Overflow , Slate и DuckDuckGo . [82] [83] На следующих сайтах есть затронутые проблемы или сделаны объявления, рекомендующие пользователям обновить пароли в ответ на ошибку:

  • Akamai Technologies [84]
  • Веб-сервисы Amazon [85]
  • Ars Technica [86]
  • Bitbucket [87]
  • BrandVerity [88]
  • Freenode [89]
  • GitHub [90]
  • IFTTT [91]
  • Интернет-архив [92]
  • Mojang [93]
  • Мамснет [49]
  • PeerJ [94]
  • Pinterest [95]
  • Прези [96]
  • Reddit [97]
  • Что-то ужасное [98]
  • SoundCloud [99]
  • SourceForge [100]
  • SparkFun [101]
  • Полоса [102]
  • Tumblr [103] [104]
  • Все вики-сайты Фонда Викимедиа (включая Википедию на всех языках) [105] [106]
  • Wunderlist [107]

Канадское федеральное правительство временно закрыло онлайн-сервисы Налогового управления Канады (CRA) и нескольких государственных ведомств из-за проблем с безопасностью Heartbleed. [108] [109] Перед тем, как онлайн-сервисы CRA были закрыты, хакер получил около 900 номеров социального страхования . [110] [111] Серверы другого канадского правительственного агентства, Статистическое управление Канады , были скомпрометированы из-за ошибки, а также временно отключили свои службы. [112]

Сопровождающие платформы, такие как Фонд Викимедиа, посоветовали своим пользователям сменить пароли. [105]

Серверы LastPass были уязвимы, [113] но из-за дополнительного шифрования и прямой секретности потенциальные атаки не могли использовать эту ошибку. Однако LastPass рекомендовал своим пользователям менять пароли для уязвимых веб-сайтов. [114]

Проект Tor рекомендовал операторам ретранслятора Tor и операторам скрытых служб отозвать и сгенерировать новые ключи после исправления OpenSSL, но отметил, что ретрансляторы Tor используют два набора ключей и что конструкция Tor с несколькими переходами сводит к минимуму влияние использования одного реле. [38] 586 реле, которые, как позже выяснилось, были восприимчивы к ошибке Heartbleed, были отключены в качестве меры предосторожности. [115] [116] [117] [118]

Сервисы, связанные с играми, включая Steam , Minecraft , Wargaming , League of Legends , GOG.com , Origin , Sony Online Entertainment , Humble Bundle и Path of Exile, были затронуты и впоследствии исправлены. [119]

Программные приложения [ править ]

Уязвимые программные приложения включают:

  • Несколько серверных приложений Hewlett-Packard , например HP System Management Homepage (SMH) для Linux и Windows. [120]
  • Некоторые версии FileMaker 13 [121]
  • LibreOffice с 4.2.0 по 4.2.2 (исправлено в 4.2.3) [122] [123]
  • LogMeIn утверждал, что «обновил многие продукты и части наших услуг, которые полагаются на OpenSSL». [124]
  • Множество продуктов McAfee , в частности, некоторые версии программного обеспечения, обеспечивающего антивирусное покрытие для Microsoft Exchange, программных брандмауэров, а также шлюзов электронной почты и веб-шлюзов McAfee [125]
  • Oracle MySQL Connector / C 6.1.0-6.1.3 и Connector / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2 [126]
  • Oracle Big Data Appliance (включая Oracle Linux 6) [126]
  • Primavera P6 Professional Project Management (включает Primavera P6 Enterprise Project Portfolio Management) [126]
  • WinSCP (FTP-клиент для Windows) 5.5.2 и некоторые более ранние версии (уязвимы только для FTP через TLS / SSL, исправлено в 5.5.3) [127]
  • Несколько продуктов VMware , включая VMware ESXi 5.5, VMware Player 6.0, VMware Workstation 10 и серию продуктов, эмуляторов и облачных вычислений Horizon [128]

Были затронуты несколько других приложений корпорации Oracle . [126]

Операционные системы / прошивки [ править ]

Были затронуты несколько дистрибутивов GNU / Linux, включая Debian [129] (и производные, такие как Linux Mint и Ubuntu [130] ) и Red Hat Enterprise Linux [131] (и производные, такие как CentOS , [132] Oracle Linux 6 [126] и Amazon Linux [133] ), а также следующие операционные системы и версии микропрограмм:

  • Android 4.1.1, используемый в различных портативных устройствах. [134] Крис Смит пишет в Boy Genius Report, что затронута только эта версия Android, но это популярная версия Android ( Chitika утверждает, что 4.1.1 установлена ​​на 50 миллионах устройств; [135] Google описывает ее как менее 10 % активированных Android-устройств). Другие версии Android не уязвимы, так как в них либо отключены тактовые импульсы, либо используется незатронутая версия OpenSSL. [136] [137]
  • Прошивки для некоторых базовых станций AirPort [138]
  • Прошивки для некоторых маршрутизаторов Cisco Systems [81] [139] [140]
  • Прошивки для некоторых маршрутизаторов Juniper Networks [140] [141]
  • pfSense 2.1.0 и 2.1.1 (исправлено в 2.1.2) [142]
  • Версии DD-WRT между 19163 и 23881 включительно (исправлено в 23882) [143]
  • Прошивка семейства продуктов Western Digital My Cloud [144]

Услуги по тестированию уязвимостей [ править ]

Было предоставлено несколько сервисов для проверки того, влияет ли Heartbleed на данный сайт. Однако было заявлено, что многие службы неэффективны для обнаружения ошибки. [145] Доступные инструменты включают:

  • Tripwire SecureScan [146]
  • AppCheck - статическое двоичное сканирование и фаззинг от Synopsys Software Integrity Group (ранее Codenomicon) [147]
  • Аналитика безопасности Pravail от Arbor Network [148]
  • Средство проверки Norton Safeweb Heartbleed [149]
  • Инструмент тестирования Heartbleed от европейской компании по ИТ-безопасности [150]
  • Тест Heartbleed итальянского криптографа Филиппо Валсорда [151]
  • Тест уязвимости Heartbleed, проведенный Cyberoam [152]
  • Бесплатный онлайн-тестер Heartbleed Critical Watch [153]
  • Модуль сканера Metasploit Heartbleed [154]
  • Серверный сканер Heartbleed от Реманна [155]
  • Lookout Mobile Security Heartbleed Detector, приложение для устройств Android, которое определяет версию OpenSSL устройства и указывает, включена ли уязвимая проверка пульса [156]
  • Проверка Heartbleed на сервере LastPass [157]
  • Онлайн-сканер сетевого диапазона для выявления уязвимости Heartbleed от Pentest-Tools.com [158]
  • Официальный офлайн-сканер Red Hat, написанный на языке Python [159]
  • Тест SSL-сервера Qualys SSL Labs [160], который не только ищет ошибку Heartbleed, но также может найти другие ошибки реализации SSL / TLS.
  • Расширения браузера, такие как Chromebleed [161] и FoxBleed [162]
  • Диагностика SSL [163]
  • CrowdStrike Heartbleed Scanner [164] - сканирует маршрутизаторы, принтеры и другие устройства, подключенные к сети, включая веб-сайты интрасети. [165]
  • Отчет Netcraft Site Report [166] - указывает, может ли конфиденциальность веб-сайта быть поставлена ​​под угрозу из-за использования Heartbleed в прошлом, путем проверки данных из опроса SSL Netcraft, чтобы определить, предлагал ли сайт расширение TLS heartbeat до раскрытия Heartbleed. Расширения Netcraft для Chrome, Firefox и Opera [167] также выполняют эту проверку при поиске потенциально скомпрометированных сертификатов. [168]
  • Cyber ​​Desk - сканер безопасности веб-сайтов. Совместим со всеми системами управления контентом [169]


Другие инструменты безопасности добавили поддержку для поиска этой ошибки. Например, Tenable Network Security написала подключаемый модуль для своего сканера уязвимостей Nessus, который может сканировать эту ошибку. [170] Nmap сканер безопасности включает в себя сценарий обнаружения Heartbleed с версии 6.45. [171]

Sourcefire выпустил правила Snort для обнаружения трафика атаки Heartbleed и возможного трафика ответа Heartbleed. [172] Программное обеспечение для анализа пакетов с открытым исходным кодом, такое как Wireshark и tcpdump, может идентифицировать пакеты Heartbleed с помощью специальных фильтров пакетов BPF, которые можно использовать для сохраненных захваченных пакетов или реального трафика. [173]

Исправление [ править ]

Уязвимость к Heartbleed устраняется путем обновления OpenSSL до исправленной версии (1.0.1g или новее). OpenSSL может использоваться как отдельная программа, динамический общий объект или статически связанная библиотека ; поэтому процесс обновления может потребовать перезапуска процессов, загруженных с уязвимой версией OpenSSL, а также повторного связывания программ и библиотек, которые связывали его статически. На практике это означает обновление пакетов, которые статически связывают OpenSSL, и перезапуск запущенных программ, чтобы удалить находящуюся в памяти копию старого уязвимого кода OpenSSL. [ необходима цитата ]

После исправления уязвимости администраторы сервера должны устранить потенциальное нарушение конфиденциальности. Поскольку Heartbleed позволял злоумышленникам раскрывать закрытые ключи , их следует рассматривать как скомпрометированные; пары ключей должны быть повторно сгенерированы, а сертификаты, которые их используют, должны быть перевыпущены; старые сертификаты должны быть отозваны . Heartbleed также может позволить раскрыть другие секреты в памяти; следовательно, другой аутентификационный материал (например, пароли ) также должен быть восстановлен. Редко возможно подтвердить, что система, которая была затронута, не была взломана, или определить, была ли утечка конкретной информации. [174]

Поскольку сложно или невозможно определить, когда учетные данные могли быть скомпрометированы и как они могли быть использованы злоумышленником, некоторые системы могут потребовать дополнительных работ по исправлению даже после исправления уязвимости и замены учетных данных. Например, подписи, сделанные ключами, которые использовались с уязвимой версией OpenSSL, вполне могли быть сделаны злоумышленником; это повышает вероятность нарушения целостности и открывает возможности для отказа . Проверка подписей и легитимность других аутентификаций, выполненных с потенциально скомпрометированным ключом (например, с использованием сертификата клиента ), должна выполняться с учетом конкретной задействованной системы. [ необходима цитата ]

Уведомление об отзыве сертификата безопасности браузера [ править ]

Поскольку Heartbleed угрожает конфиденциальности закрытых ключей, пользователи скомпрометированного веб-сайта могут продолжать страдать от последствий Heartbleed до тех пор, пока их браузер не узнает об отзыве сертификата или не истечет срок действия скомпрометированного сертификата. [175] По этой причине исправление также зависит от пользователей, использующих браузеры, которые имеют актуальные списки отзыва сертификатов (или поддерживают OCSP ) и учитывают отзывы сертификатов. [ необходима цитата ]

Основные причины, возможные уроки и реакции [ править ]

Хотя оценить общую стоимость Heartbleed сложно, eWEEK оценил отправную точку в 500 миллионов долларов США. [176]

В статье Дэвида А. Уиллера « Как предотвратить следующее Heartbleed» анализируется, почему Heartbleed не было обнаружено раньше, и предлагается несколько методов, которые могли бы привести к более быстрой идентификации, а также методы, которые могли бы уменьшить его влияние. По словам Уиллера, наиболее эффективный метод, который мог бы предотвратить Heartbleed, - это набор тестов, тщательно выполняющий тестирование устойчивости , т. Е. Тестирование того , что недопустимые входные данные вызывают скорее отказы, чем успехи. Уилер подчеркивает, что единый набор тестов общего назначения может служить основой для всех реализаций TLS. [177]

Согласно статье Роберта Меркель в The Conversation , Heartbleed обнаружил серьезную ошибку в анализе рисков . Меркель считает, что OpenSSL придает большее значение производительности, чем безопасности, что, по его мнению, больше не имеет смысла. Но Меркель считает, что нельзя обвинять OpenSSL в такой степени, как пользователей OpenSSL, которые решили использовать OpenSSL, не финансируя более качественный аудит и тестирование. Меркель объясняет, что два аспекта определяют риск того, что большее количество похожих ошибок вызовет уязвимости. Во-первых, исходный код библиотеки влияет на риск написания таких ошибок. Во-вторых, процессы OpenSSL влияют на шансы быстрого обнаружения ошибок. По первому аспекту Меркель упоминает об использовании языка программирования Си.как один из факторов риска, который способствовал появлению Heartbleed, что перекликается с анализом Уиллера. [177] [178]

В том же аспекте, Тео де Раадт , основатель и руководитель проектов OpenBSD и OpenSSH , раскритиковал разработчиков OpenSSL за написание собственных процедур управления памятью и тем самым, как он утверждает, обходя контрмеры для использования стандартной библиотеки OpenBSD C , заявив, что «OpenSSL не разработан ответственной командой ". [179] [180] После раскрытия информации Heartbleed участники проекта OpenBSD разделили OpenSSL на LibreSSL . [181]

Автор изменения, которое представило Heartbleed, Робин Сеггельманн [182] заявил, что он пропустил проверку переменной, содержащей длину, и отрицал какое-либо намерение представить некорректную реализацию. [18] После раскрытия информации Heartbleed Сеггельманн предложил сосредоточиться на втором аспекте, заявив, что OpenSSL не проверяется достаточным количеством людей. [183] Хотя работа Сеггельмана была рассмотрена разработчиком ядра OpenSSL, обзор также был направлен на проверку функциональных улучшений, что значительно упрощает пропуск уязвимостей. [177]

Разработчик ядра OpenSSL Бен Лори утверждал, что проверка безопасности OpenSSL могла бы выявить Heartbleed. [184] Инженер-программист Джон Уолш прокомментировал:

Подумайте об этом, у OpenSSL есть только два [штатных] человека, которые пишут, поддерживают, тестируют и проверяют 500 000 строк критически важного для бизнеса кода. [185]

Президент фонда OpenSSL Стив Маркиз сказал: «Загадка не в том, что несколько перегруженных работой добровольцев пропустили эту ошибку; загадка в том, почему это не происходило чаще». [185] Дэвид А. Уиллер описал аудит как отличный способ поиска уязвимостей в типичных случаях, но отметил, что «OpenSSL использует излишне сложные структуры, что затрудняет проверку как людьми, так и машинами». Он написал:

Необходимо постоянно прилагать усилия для упрощения кода, поскольку в противном случае простое добавление возможностей будет постепенно увеличивать сложность программного обеспечения. Код необходимо со временем реорганизовать, чтобы сделать его простым и понятным, а не просто постоянно добавлять новые функции. Целью должен быть код, который «очевидно правильный», в отличие от кода, который настолько сложен, что «я не вижу никаких проблем». [177]

LibreSSL провел большую очистку кода, удалив более 90 000 строк кода C всего за первую неделю. [186]

По словам исследователя безопасности Дэна Камински , Heartbleed является признаком экономической проблемы, которую необходимо исправить. Видя время, затраченное на то, чтобы отловить эту простую ошибку в простой функции из «критической» зависимости, Камински опасается многочисленных будущих уязвимостей, если ничего не будет сделано. Когда открыли Heartbleed, OpenSSL обслуживала горстка добровольцев, из которых только один работал полный рабочий день. [187] Ежегодные пожертвования проекту OpenSSL составляли около 2 000 долларов США. [188] Веб-сайт Heartbleed от Codenomicon рекомендовал денежные пожертвования в проект OpenSSL. [21]Узнав о пожертвованиях в течение 2 или 3 дней после раскрытия информации Heartbleed на общую сумму 841 доллар США, Камински прокомментировал: «Мы создаем самые важные технологии для мировой экономики на шокирующе недофинансируемой инфраструктуре». [189] Разработчик ядра Бен Лори квалифицировал проект как «полностью нефинансированный». [188] Хотя OpenSSL Software Foundation не имеет программы вознаграждений за ошибки , в рамках инициативы Internet Bug Bounty Нил Мехта из Google, обнаруживший Heartbleed, получил 15 000 долларов за ответственное раскрытие информации. [188]

Пол Кьюзано предположил, что Heartbleed, возможно, возник в результате неудачной экономики программного обеспечения. [190]

Коллективным ответом отрасли на кризис стала инициатива Core Infrastructure Initiative - многомиллионный проект, объявленный Linux Foundation 24 апреля 2014 года для финансирования важнейших элементов глобальной информационной инфраструктуры. [191] Инициатива направлена ​​на то, чтобы ведущие разработчики могли работать над своими проектами полный рабочий день и оплачивать аудиты безопасности, аппаратную и программную инфраструктуру, командировочные и другие расходы. [192] OpenSSL является кандидатом на роль первого получателя финансирования инициативы. [191]

После открытия Google создал Project Zero, задачей которого является обнаружение уязвимостей нулевого дня для защиты Интернета и общества. [193] [194]

Ссылки [ править ]

  1. Рианна Маккензи, Патрик (9 апреля 2014 г.). «Что Heartbleed может научить сообщество OSS о маркетинге» . Kalzumeus . Архивировано 20 декабря 2017 года . Проверено 8 февраля 2018 .
  2. Биггс, Джон (9 апреля 2014 г.). «Heartbleed, первая ошибка безопасности с классным логотипом» . TechCrunch . Архивировано 11 февраля 2018 года . Проверено 8 февраля 2018 .
  3. ^ «Рекомендации по безопасности - уязвимость OpenSSL Heartbleed» . Cyberoam . 11 апреля 2014. архивации от оригинала 8 февраля 2018 года . Проверено 8 февраля 2018 .
  4. ^ Limer, Эрик (9 апреля 2014). «Как работает Heartbleed: код кошмара безопасности в Интернете» . Gizmodo . Архивировано 11 ноября 2014 года . Проверено 24 ноября 2014 года .
  5. ^ a b "CVE-2014-0160" . Распространенные уязвимости и подверженности . Митра. Архивировано 24 января 2018 года . Проверено 8 февраля 2018 .
  6. ^ «CWE-126: переполнение буфера (3.0)» . Распространенные уязвимости и подверженности . Митра . 18 января 2018. Архивировано 8 февраля 2018 года . Проверено 8 февраля 2018 .
  7. ^ «AL14-005: OpenSSL Heartbleed Vulnerability» . Бюллетени кибербезопасности . Общественная безопасность Канады . 11 апреля 2014. архивации от оригинала 8 февраля 2018 года . Проверено 8 февраля 2018 .
  8. ^ "Добавить проверку границ расширения пульса" . git.openssl.org . OpenSSL . Проверено 5 марта 2019 .
  9. Лейден, Джон (20 мая 2014 г.). «AVG на Heartbleed: идти одному опасно. Возьмите это (инструмент AVG)» . Реестр . Архивировано 23 января 2018 года . Проверено 8 февраля 2018 .
  10. ^ a b Грэм, Роберт (21 июня 2014 г.). «300 тысяч серверов уязвимы для Heartbleed два месяца спустя» . Исправление ошибок. Архивировано 23 июня 2014 года . Проверено 22 июня 2014 .
  11. ↑ a b Shodan (23 января 2017 г.). «Отчет Heartbleed (2017-01)» . shodan.io. Архивировано из оригинала 23 января 2017 года . Проверено 10 июля 2019 .
  12. ^ a b Шварц, Мэтью Дж. (30 января 2017 г.). «Heartbleed Lingers: почти 180 000 серверов по-прежнему уязвимы» . Безопасность информации о банке. Архивировано 11 июля 2019 года . Проверено 10 июля 2019 .
  13. ^ a b Мак Витти, Лори (2 февраля 2017 г.). «Дружественное напоминание: безопасность приложений в облаке - ваша ответственность» . F5 Labs. Архивировано 11 июля 2019 года . Проверено 10 июля 2019 .
  14. ^ a b Кэри, Патрик (10 июля 2017 г.). "Изжога Heartbleed: Почему 5-летняя уязвимость продолжает кусаться" . Журнал безопасности. Архивировано 11 июля 2019 года . Проверено 10 июля 2019 .
  15. ^ Shodan (11 июля 2019). «[2019] Heartbleed Report» . Шодан . Архивировано 11 июля 2019 года . Проверено 11 июля 2019 .
  16. Преториус, Трейси (10 апреля 2014 г.). «Службы Microsoft не подвержены уязвимости OpenSSL Heartbleed» . Microsoft . Архивировано 8 февраля 2018 года . Проверено 8 февраля 2018 .
  17. ^ Сеггельманн, Робин; Туэксен, Майкл; Уильямс, Майкл (февраль 2012 г.). Безопасность транспортного уровня (TLS) и расширение периодических сигналов безопасности транспортного уровня дейтаграмм (DTLS) . IETF . DOI : 10,17487 / RFC6520 . ISSN 2070-1721 . RFC 6520 . Проверено 8 февраля 2018 . 
  18. ^ a b Грабб, Бен (11 апреля 2014 г.). «Человек, обнаруживший серьезную брешь в системе безопасности« Heartbleed », отрицает, что ввел ее намеренно» . Сидней Морнинг Геральд .
  19. ^ "# 2658: [ПАТЧ] Добавить контрольные сигналы TLS / DTLS" . OpenSSL. 2011. Архивировано из оригинала на 8 августа 2017 года . Проверено 13 апреля 2014 года .
  20. ^ «Познакомьтесь с человеком, который создал ошибку, которая чуть не сломала Интернет» . Глобус и почта . 11 апреля 2014 года. Архивировано 4 января 2018 года . Проверено 27 августа 2017 года .
  21. ^ a b c «Heartbleed Bug» . 8 апреля 2014. архивации с оригинала на 7 апреля 2014 года . Проверено 9 апреля 2014 года .
  22. ^ Goodin, Dan (8 апреля 2014). «Критическая криптографическая ошибка в OpenSSL открывает две трети Интернета для подслушивания» . Ars Technica . Архивировано 5 июля 2017 года . Проверено 14 июня 2017 года .
  23. ^ «Марк Дж. Кокс - #Heartbleed» . Архивировано 16 апреля 2014 года . Проверено 12 апреля 2014 года .
  24. ^ Дьюи, Кейтлин. «Почему это называется« Heartbleed Bug »?» . Архивировано 9 октября 2014 года . Проверено 25 ноября 2014 года .
  25. ^ Ли, Тимоти Б. (10 апреля 2014 г.). "Кто обнаружил уязвимость?" . Vox . Архивировано 5 декабря 2017 года . Проверено 4 декабря 2017 года .
  26. Рианна Ли, Ариана (13 апреля 2014 г.). «Как Коденомикон обнаружил кровоточащую ошибку, теперь преследующую Интернет» . Читайте, пишите . Архивировано 5 сентября 2017 года . Проверено 4 декабря 2017 года . Обнаруженный независимо инженером Google Нилом Мехтой и финской фирмой по безопасности Codenomicon, Heartbleed был назван «одной из самых серьезных проблем безопасности, когда-либо затрагиваемых современной сетью».
  27. ^ "Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä - transl. / Финские исследователи обнаружили серьезную утечку в сердце Интернета" . 10 апреля 2014. архивации с оригинала на 4 ноября 2014 года . Проверено 13 апреля 2014 года .
  28. ^ Баранина, Пол (8 апреля 2014). «Полмиллиона пользующихся доверием веб-сайтов уязвимы перед ошибкой Heartbleed» . Неткрафт . Архивировано 19 ноября 2014 года . Проверено 24 ноября 2014 года .
  29. ^ Перлрот, Николь; Харди, Квентин (11 апреля 2014 г.). «Ущерб от сердца может дойти до цифровых устройств, - говорят эксперты» . Нью-Йорк Таймс . Архивировано 28 апреля 2019 года . Проверено 27 февраля 2017 года .
  30. Chen, Brian X. (9 апреля 2014 г.). «Q. и A. о Heartbleed: недостаток, упущенный массами» . Нью-Йорк Таймс . Архивировано 12 апреля 2014 года . Проверено 10 апреля 2014 года .
  31. ^ Вуд, Молли (10 апреля 2014 г.). «Эксперты говорят, что необходимо изменить пароли» . Нью-Йорк Таймс . Архивировано 19 октября 2017 года . Проверено 27 февраля 2017 года .
  32. ^ Манджа, Фархад (10 апреля 2014). «Строгое напоминание пользователей: по мере роста Интернета он становится менее безопасным» . Нью-Йорк Таймс . Архивировано 24 февраля 2018 года . Проверено 27 февраля 2017 года .
  33. Чжу, Ян (8 апреля 2014 г.). «Почему Интернету больше, чем когда-либо, нужна совершенная прямая секретность» . Electronic Frontier Foundation . Архивировано 20 декабря 2017 года . Проверено 10 апреля 2014 года .
  34. ^ Goodin, Dan (8 апреля 2014). «Критический криптографический баг выявляет Yahoo Mail, другие пароли в стиле русской рулетки» . Ars Technica. Архивировано 14 июля 2017 года . Проверено 14 июня 2017 года .
  35. ^ «Шнайер по безопасности: Heartbleed» . Шнайер о безопасности . 11 апреля 2014 года. Архивировано 23 декабря 2017 года . Проверено 10 апреля 2014 года .
  36. Стейнберг, Джозеф (10 апреля 2014 г.). «Огромная уязвимость Интернет-безопасности - вот что вам нужно сделать» . Forbes . Архивировано 4 января 2018 года . Проверено 29 августа 2017 года .
  37. ^ Kelion, Лев (11 апреля 2014). «Правительство США предупреждает об опасности ошибки Heartbleed» . BBC News . Архивировано 6 декабря 2018 года . Проверено 21 июня 2018 .
  38. ^ a b «Ошибка OpenSSL CVE-2014-0160» . Проект Tor. 7 апреля 2014 года. Архивировано 10 июля 2017 года . Проверено 9 апреля 2014 года .
  39. Рианна Грабб, Бен (14 апреля 2014 г.). «Хронология обескураживающего раскрытия информации: кто знал, что и когда» . Сидней Морнинг Геральд . Архивировано 25 ноября 2014 года . Проверено 25 ноября 2014 года .
  40. ^ "heartbeat_fix" . Архивировано 19 ноября 2018 года . Проверено 14 апреля 2014 года .
  41. ^ a b " " полный список изменений "(Git - openssl.git / commitdiff)" . Проект OpenSSL. 7 апреля 2014. архивации с оригинала на 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  42. ^ "Цунами отзыва сертификата Heartbleed еще не прибыло" . Неткрафт . 11 апреля 2014 года. Архивировано 29 мая 2014 года . Проверено 24 апреля 2014 года .
  43. ^ Баранина, Пол (9 мая 2014). "Ключи остались неизменными во многих сертификатах замены Heartbleed!" . Неткрафт . Архивировано 27 августа 2016 года . Проверено 11 сентября +2016 .
  44. Кернер, Шон Майкл (10 мая 2014 г.). «Heartbleed по-прежнему представляет угрозу для сотен тысяч серверов» . eWEEK .
  45. Рианна Эванс, Пит (14 апреля 2014 г.). "Heartbleed bug: 900 SIN украдены из Revenue Canada" . CBC News . Архивировано 14 марта 2018 года . Проверено 4 ноября 2014 года . Некоторые подробности приведены в видео, ссылка на которое находится на странице.
  46. ^ «Канадское налоговое агентство переносит крайний срок уплаты налогов до 5 мая после ошибки Heartbleed» . 14 апреля 2014. Архивировано из оригинала 4 ноября 2014 года . Проверено 4 ноября 2014 года .
  47. ^ Thibedeau, Ханна (16 апреля 2014). «Heartbleed bug, обвиняемый RCMP в нарушении SIN» . CBC News . Архивировано 28 октября 2014 года . Проверено 4 ноября 2014 года .
  48. ^ "Случай взлома Heartbleed видит первый арест в Канаде" . BBC News . 16 апреля 2014 года. Архивировано 23 мая 2018 года . Проверено 21 июня 2018 .
  49. ^ a b Келион, Лев (14 апреля 2014 г.). «Хакерские атаки пострадали от Mumsnet и налоговой службы Канады» . BBC News . Архивировано 29 ноября 2017 года . Проверено 21 июня 2018 .
  50. ^ "Mumsnet и Heartbleed, как это случилось" . Мамснет . Архивировано из оригинального 29 декабря 2017 года . Проверено 17 апреля 2014 года .
  51. ^ Уорд, Марк (29 апреля 2014 г.). «Heartbleed используется для обнаружения данных от киберпреступников» . BBC News . Архивировано 14 мая 2018 года . Проверено 21 июня 2018 .
  52. ^ Лоулер, Ричард (11 апреля 2014 г.). «Cloudflare Challenge доказывает, что« худший сценарий »для Heartbleed действительно возможен» . Engadget . Архивировано 29 декабря 2017 года . Проверено 29 августа 2017 года .
  53. ^ «Heartbleed Challenge» . CloudFlare . 2014. Архивировано из оригинала 12 апреля 2014 года.
  54. Робертсон, Иордания (16 апреля 2014 г.). «Хакеры из Китая тратят мало времени на использование Heartbleed» . Сидней Морнинг Геральд . Архивировано 28 декабря 2017 года . Проверено 16 апреля 2020 года .
  55. ^ Фризелл, Сэм. «Журнал Time: отчет: во взломе больницы был использован разрушительный недостаток с кровоточащим сердцем» . Архивировано 7 октября 2014 года . Проверено 7 октября 2014 года .
  56. Перейти ↑ Cipriani, Jason (9 апреля 2014 г.). «Heartbleed bug: проверьте, какие сайты были исправлены» . CNET . Архивировано 17 апреля 2020 года . Проверено 16 апреля 2020 года .
  57. Рианна Галлахер, Шон (9 апреля 2014 г.). «Уязвимость Heartbleed могла быть использована за несколько месяцев до патча» . Ars Technica . Архивировано 3 марта 2017 года . Проверено 14 июня 2017 года .
  58. ^ Экерсли, Питер. «Дикие сердцем: использовали ли разведывательные агентства Heartbleed в ноябре 2013 года?» . Eff.org. Архивировано 5 декабря 2014 года . Проверено 25 ноября 2014 года .
  59. ^ Грэм, Роберт (9 апреля 2014 г.). «Нет, до 7 апреля мы не искали сердцебиение» . Исправление ошибок. Архивировано 16 октября 2017 года . Проверено 10 апреля 2014 года .
  60. Райли, Майкл (12 апреля 2014 г.). «АНБ обещало использовать Heartbleed Bug для разведки в течение многих лет» . Блумберг . Архивировано 11 апреля 2014 года . Проверено 7 марта 2017 года .
  61. ^ Молина, Бретт. «Отчет: АНБ годами эксплуатировало Heartbleed» . USA Today . Архивировано 11 апреля 2014 года . Проверено 11 апреля 2014 года .
  62. Райли, Майкл. «АНБ использовало баг Heartbleed в течение двух лет для сбора разведданных, - говорят источники» . Финансовая почта . Архивировано 11 апреля 2014 года . Проверено 11 апреля 2014 года .
  63. ^ «Заявление по поводу статьи Bloomberg News о том, что АНБ знало об уязвимости« Heartbleed bug »и регулярно использовало ее для сбора критических разведданных» . Агентство национальной безопасности . 11 апреля 2014 года. Архивировано 27 декабря 2017 года . Проверено 13 апреля 2014 года .
  64. ^ Hosenball, Марк; Данэм, Уилл (11 апреля 2014 г.). «Белый дом, шпионские агентства отрицают, что АНБ использовало ошибку Heartbleed» . Рейтер . Архивировано 15 апреля 2014 года . Проверено 1 июля 2017 года .
  65. ^ Зеттер, Ким. «Правительство США настаивает на том, что оно не накапливает уловки нулевого дня для взлома врагов» . wired.com. Архивировано 29 ноября 2014 года . Проверено 25 ноября 2014 года .
  66. Хант, Трой (9 апреля 2014 г.). «Все, что вам нужно знать об ошибке Heartbleed SSL» . Тройхант . Архивировано 11 апреля 2014 года . Проверено 11 апреля 2014 года .
  67. ^ "git.openssl.org Git - openssl.git / log" . git.openssl.org . Архивировано из оригинального 15 апреля 2014 года . Проверено 25 ноября 2014 года .
  68. ^ «Обсуждения сообщества Spiceworks» . community.spiceworks.com. Архивировано 15 апреля 2014 года . Проверено 11 апреля 2014 года .
  69. ^ «Рекомендации по безопасности OpenSSL [7 апреля 2014 г.]» . Проект OpenSSL . 7 апреля 2014 года. Архивировано 8 апреля 2014 года . Проверено 9 апреля 2014 года .
  70. ^ «Версии OpenSSL и уязвимость [9 апреля 2014 г.]» . Комодо . Архивировано из оригинала 5 июля 2014 года . Проверено 9 апреля 2014 года .
  71. ^ «Пользователи Cyberoam не должны кровоточить из-за Heartbleed Exploit» . cyberoam.com. Архивировано из оригинального 15 апреля 2014 года . Проверено 11 апреля 2014 года .
  72. ^ "tls1_process_heartbeat [9 апреля 2014 г.]" . Архивировано 26 августа 2014 года . Проверено 10 апреля 2014 года .
  73. ^ «Почему Heartbleed опасен? Использование CVE-2014-0160» . IPSec.pl. 2014. Архивировано из оригинала 8 апреля 2014 года . Проверено 9 апреля 2014 года .
  74. Грэм-Камминг, Джон (28 апреля 2014 г.). «В поисках главного подозреваемого: как Heartbleed утечка личных ключей» . CloudFlare. Архивировано 29 декабря 2017 года . Проверено 7 июня 2014 .
  75. Судья, Кевин. «Серверы, уязвимые для Heartbleed [14 июля 2014 г.]» . Архивировано из оригинального 26 августа 2014 года . Проверено 25 августа 2014 года .
  76. ^ Рейни, Ли; Дагган, Мейв (30 апреля 2014 г.). «Воздействие Heartbleed's» . Интернет-проект Pew Research . Pew Research Center . п. 2. Архивировано 28 декабря 2017 года . Проверено 22 мая 2014 .
  77. Брэдли, Тони (14 апреля 2014 г.). «Reverse Heartbleed подвергает ваш компьютер и устройства риску атаки OpenSSL» . PCWorld . IDG Consumer & SMB. Архивировано 2 декабря 2016 года . Проверено 10 мая 2014 .
  78. ^ a b Артур, Чарльз (15 апреля 2014 г.). «Heartbleed делает уязвимыми 50 миллионов Android-телефонов, как показывают данные» . Хранитель . Guardian News and Media Limited. Архивировано 19 марта 2016 года . Проверено 14 декабря +2016 .
  79. ^ "Безопасность сейчас 451" . Twit.Tv. Архивировано 19 апреля 2014 года . Проверено 19 апреля 2014 года .
  80. Рамзан, Зульфикар (24 апреля 2014 г.). « Обратный Heartbleed“может атаковать компьютеры и мобильные телефоны» . Журнал SC . Haymarket Media, Inc. Архивировано 6 октября 2016 года . Проверено 10 мая 2014 .
  81. ^ a b «Уязвимость расширения OpenSSL Heartbeat в нескольких продуктах Cisco» . Cisco Systems. 9 апреля 2014 года. Архивировано 29 декабря 2017 года . Проверено 8 мая 2014 .
  82. ^ "heartbleed-masstest: Обзор" . GitHub . Архивировано 1 июня 2014 года . Проверено 19 апреля 2014 года .
  83. Перейти ↑ Cipriani, Jason (10 апреля 2014 г.). "На каких сайтах исправлена ​​ошибка Heartbleed?" . CNET . Архивировано 11 апреля 2014 года . Проверено 10 апреля 2014 года .
  84. ^ «Heartbleed FAQ: системы Akamai исправлены» . Akamai Technologies . 8 апреля 2014. архивации с оригинала на 8 апреля 2014 года . Проверено 9 апреля 2014 года .
  85. ^ «Сервисы AWS обновлены для устранения уязвимости OpenSSL» . Amazon Web Services . 8 апреля 2014. архивации с оригинала на 11 апреля 2014 года . Проверено 9 апреля 2014 года .
  86. ^ «Дорогие читатели, пожалуйста, измените пароли своей учетной записи Ars как можно скорее» . Ars Technica. 8 апреля 2014 года. Архивировано 18 января 2017 года . Проверено 14 июня 2017 года .
  87. ^ «Все обновления Heartbleed теперь завершены» . Блог BitBucket. 9 апреля 2014 года. Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  88. ^ «Защита вашей учетной записи BrandVerity от Heartbleed Bug» . Блог BrandVerity. 9 апреля 2014 года. Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  89. ^ @freenodestaff (8 апреля 2014 г.). «нам пришлось перезапустить кучу серверов из-за уязвимости безопасности openssl, что было / было очень шумно. Извини!» (Твитнуть) - через Твиттер .
  90. ^ «Безопасность: душевная уязвимость» . GitHub . 8 апреля 2014. архивации с оригинала на 10 апреля 2014 года . Проверено 9 апреля 2014 года .
  91. ^ «IFTTT говорит, что« больше не уязвима »для Heartbleed» . LifeHacker . 8 апреля 2014. архивации с оригинала на 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  92. ^ «Heartbleed ошибка и Архив» . Интернет-архив блогов . 9 апреля 2014 . Проверено 14 апреля 2014 года .
  93. ^ @KrisJelbring (8 апреля 2014 г.). «Если вы входили в любую из наших игр или веб-сайтов в течение последних 24 часов, используя свое имя пользователя и пароль, я бы порекомендовал вам сменить пароль» (твит) . Проверено 14 апреля 2014 г. - через Twitter .
  94. ^ "Широко распространенная ошибка OpenSSL 'Heartbleed' исправлена ​​в PeerJ" . PeerJ . 9 апреля 2014 года. Архивировано 13 апреля 2014 года . Проверено 9 апреля 2014 года .
  95. ^ "На Pinterest повлияла проблема Heartbleed?" . Справочный центр Pinterest . Архивировано из оригинального 21 апреля 2014 года . Проверено 20 апреля 2014 года .
  96. ^ "Heartbleed Победил" . Prezi . Архивировано из оригинала на 5 июня 2014 года . Проверено 13 апреля 2014 года .
  97. ^ «Мы рекомендуем вам сменить пароль Reddit» . Reddit . 14 апреля 2014. архивации с оригинала на 15 апреля 2014 года . Проверено 14 апреля 2014 года .
  98. ^ «ВАЖНЫЕ ОБЪЯВЛЕНИЯ ОТ СОЗДАТЕЛЕЙ ЧИЛИ» . Архивировано 28 июля 2013 года . Проверено 13 апреля 2014 года .
  99. ^ Codey, Brendan (9 апреля 2014). «Обновление безопасности: сегодня мы собираемся выписать всех, вот почему» . SoundCloud . Архивировано 13 апреля 2014 года . Проверено 9 апреля 2014 года .
  100. ^ "Ответ SourceForge на Heartbleed" . SourceForge . 10 апреля 2014. архивации с оригинала на 11 апреля 2014 года . Проверено 10 апреля 2014 года .
  101. ^ "Heartbleed" . SparkFun . 9 апреля 2014 года. Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  102. ^ "Heartbleed" . Нашивка (компания) . 9 апреля 2014 года. Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  103. ^ «Tumblr Staff-Срочное обновление безопасности» . 8 апреля 2014. архивации с оригинала на 9 апреля 2014 года . Проверено 9 апреля 2014 года .
  104. ^ Херн, Алекс (9 апреля 2014). «Heartbleed: не торопитесь обновлять пароли, - предупреждают эксперты по безопасности» . Хранитель . Архивировано 3 января 2017 года . Проверено 14 декабря +2016 .
  105. ^ a b Гроссмайер, Грег (8 апреля 2014 г.). «[Wikitech-l] Fwd: Меры безопасности - Сброс всех пользовательских сеансов сегодня» . Фонд Викимедиа . Архивировано 18 июня 2014 года . Проверено 9 апреля 2014 года .
  106. ^ Гроссмейер, Грег (10 апреля 2014). "Ответ Викимедиа на уязвимость системы безопасности Heartbleed" . Блог Фонда Викимедиа . Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  107. ^ «Wunderlist и уязвимость OpenSSL Heartbleed» . 10 апреля 2014. Архивировано из оригинала 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  108. ^ «Проблемы безопасности побуждают налоговое агентство закрыть веб-сайт» . Новости CTV . 9 апреля 2014 года. Архивировано 18 января 2021 года . Проверено 9 апреля 2014 года .
  109. ^ «Heartbleed: канадские налоговые службы снова в сети» . CBC News . Архивировано 25 апреля 2018 года . Проверено 14 апреля 2014 года .
  110. ^ Ogrodnik, Irene (14 апреля 2014). «900 SIN украдены из-за ошибки Heartbleed: Канадское налоговое агентство | Globalnews.ca» . globalnews.ca . Глобальные новости. Архивировано 4 мая 2019 года . Дата обращения 4 мая 2019 .
  111. ^ Сеглиньш, Дэйв (3 декабря 2014). «Взлом CRA Heartbleed: Стивену Солис-Рейесу предъявлено больше обвинений» . cbc.ca . CBC News. Архивировано 4 мая 2019 года . Дата обращения 4 мая 2019 .
  112. ^ «Сайт Статистического управления Канады был взломан неизвестным злоумышленником» . Vice - Материнская плата . Архивировано 24 декабря 2018 года . Проверено 23 декабря 2018 года .
  113. ^ Fiegerman, Сет (14 апреля 2014). «Эффект сердечного кровотечения: у служб паролей наступает момент» . Mashable . Архивировано 16 октября 2017 года . Проверено 28 апреля 2014 года .
  114. ^ «LastPass и ошибка Heartbleed» . LastPass . 8 апреля 2014. архивации с оригинала на 18 декабря 2017 . Проверено 28 апреля 2014 года .
  115. ^ "[тор-реле] Отклонение 380 уязвимых ключей охранника / выхода" . Lists.torproject.org. Архивировано 19 апреля 2014 года . Проверено 19 апреля 2014 года .
  116. ^ «Еженедельные новости Tor - 16 апреля 2014 | Блог Tor» . Blog.torproject.org. Архивировано 19 апреля 2014 года . Проверено 19 апреля 2014 года .
  117. Галлахер, Шон (17 мая 2012 г.). «Ряды ретрансляционных серверов в сети Tor сокращены из-за ошибки Heartbleed» . Ars Technica. Архивировано 1 мая 2014 года . Проверено 19 апреля 2014 года .
  118. ^ Мимозо, Майкл. «Tor занесение в черный список узлов выхода, уязвимых для Heartbleed Bug | Threatpost | Первая остановка для новостей безопасности» . Threatpost. Архивировано 19 апреля 2014 года . Проверено 19 апреля 2014 года .
  119. Младший, Пол (11 апреля 2014 г.). «Игровые сервисы для ПК, затронутые Heartbleed, и действия, которые вам необходимо предпринять» . IncGamers. Архивировано 15 апреля 2014 года . Проверено 15 апреля 2014 года .
  120. ^ "Связь серверов HP: OpenSSL" HeartBleed "Уязвимость" . 18 апреля 2014. Архивировано из оригинала 4 марта 2016 года.
  121. ^ «Продукты FileMaker и ошибка Heartbleed» . 6 мая 2014. Архивировано 12 октября 2016 года . Проверено 8 мая 2014 .
  122. ^ italovignoli (10 апреля 2014 г.). «LibreOffice 4.2.3 теперь доступен для загрузки» . Фонд документа . Архивировано 12 апреля 2014 года . Проверено 11 апреля 2014 года .
  123. ^ «CVE-2014-0160» . LibreOffice . 7 апреля 2014 года. Архивировано 3 мая 2014 года . Дата обращения 2 мая 2014 .
  124. ^ «LogMeIn и OpenSSL» . LogMeIn . Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  125. ^ «Бюллетень по безопасности McAfee - уязвимость OpenSSL Heartbleed исправлена ​​в продуктах McAfee» . База знаний McAfee . 17 апреля 2014 года. Архивировано 16 апреля 2014 года . Проверено 15 апреля 2014 года .
  126. ^ a b c d e «Ошибка безопасности OpenSSL - Heartbleed / CVE-2014-0160» . Архивировано 28 мая 2014 года . Проверено 12 мая 2014 .
  127. ^ «История последних версий» . WinSCP . 14 апреля 2014 года. Архивировано 27 апреля 2014 года . Дата обращения 2 мая 2014 .
  128. ^ «Ответ на проблему безопасности OpenSSL CVE-2014-0160 / CVE-2014-0346 aka:« Heartbleed » » . VMware, Inc. Архивировано 16 апреля 2014 года . Проверено 17 апреля 2014 года .
  129. ^ «DSA-2896-1 openssl - обновление безопасности» . Проект Debian. 7 апреля 2014 года. Архивировано 11 апреля 2014 года . Проверено 17 апреля 2014 года .
  130. ^ «Уведомление о безопасности Ubuntu USN-2165-1» . Canonical, ООО 7 апреля 2014. архивации с оригинала на 13 апреля 2014 года . Проверено 17 апреля 2014 года .
  131. ^ "Важно: обновление безопасности openssl" . Red Hat, Inc. 8 апреля 2014. архивации с оригинала на 18 апреля 2014 года . Проверено 17 апреля 2014 года .
  132. ^ "Сообщение Каранбира Сингха в CentOS-анонс" . centos.org. 8 апреля 2014. архивации с оригинала на 14 апреля 2014 года . Проверено 17 апреля 2014 года .
  133. ^ «Рекомендации по безопасности Amazon Linux AMI: ALAS-2014-320» . Amazon Web Services, Inc. 7 апреля 2014. архивации с оригинала на 6 июня 2014 года . Проверено 17 апреля 2014 года .
  134. ^ "Устройства Android 4.1.1 уязвимы для ошибки Heartbleed, - говорит Google" . Конвергенция NDTV. 14 апреля 2014 года. Архивировано 20 апреля 2014 года . Проверено 19 апреля 2014 года .
  135. ^ «Около 50 миллионов Android-смартфонов все еще уязвимы для Heartbleed Bug» . Fox News. 17 апреля 2014. архивации с оригинала на 19 апреля 2014 года . Проверено 19 апреля 2014 года .
  136. ^ «Heartbleed: Android 4.1.1 Jelly Bean может серьезно пострадать» . BGR Media. 16 апреля 2014. архивации с оригинала на 9 марта 2017 года . Проверено 19 апреля 2014 года .
  137. ^ Blaich, Эндрю (8 апреля 2014). «Ошибка Heartbleed влияет на мобильные устройства» . Bluebox. Архивировано из оригинала на 6 мая 2014 года.
  138. Снелл, Джейсон (22 апреля 2014 г.). «Apple выпускает исправление Heartbleed для базовых станций AirPort» . Macworld . Архивировано 25 апреля 2020 года . Проверено 16 апреля 2020 года .
  139. ^ Кляйнман, Alexis (11 апреля 2014). «Кровоточащая ошибка идет еще глубже, чем мы думали - вот что вам следует делать» . The Huffington Post . Архивировано 23 марта 2019 года . Проверено 16 апреля 2020 года .
  140. ^ a b Ядрон, Дэнни (10 апреля 2014 г.). «Ошибка Heartbleed, обнаруженная в маршрутизаторах Cisco, Juniper Gear» . Dow Jones & Company, Inc.
  141. ^ «Бюллетень по безопасности Out of Cycle за 2014-04: несколько продуктов затронуты проблемой OpenSSL« Heartbleed »(CVE-2014-0160)» . Juniper Networks. 14 апреля 2014 года. Архивировано 16 апреля 2014 года . Проверено 19 апреля 2014 года .
  142. ^ "OpenSSL" Heartbleed "Раскрытие информации, ECDSA" . ООО "Электрическое ограждение овец". 8 апреля 2014. архивации с оригинала на 2 мая 2014 года . Дата обращения 2 мая 2014 .
  143. ^ "На OpenVPN влияет ошибка OpenSSL CVE-2014-016?" . Форум DD-WRT . Архивировано 26 февраля 2017 года . Проверено 26 февраля 2017 года .
  144. ^ "Проблема с Heartbleed Bug" . Western Digital . 10 апреля 2014. Архивировано из оригинала 19 апреля 2014 года.
  145. Брюстер, Том (16 апреля 2014 г.). «Heartbleed: 95% средств обнаружения« ошибочны », утверждают исследователи» . Хранитель . Guardian News and Media Limited. Архивировано 4 марта 2016 года . Проверено 14 декабря +2016 .
  146. ^ "Tripwire SecureScan" . Tripwire - Возьмите под контроль ИТ-безопасность и соответствие нормативным требованиям с помощью программного обеспечения Tripwire . Архивировано 16 апреля 2014 года . Проверено 7 октября 2014 года .
  147. ^ "AppCheck - статическое двоичное сканирование от Codenomicon" . Архивировано из оригинального 17 октября 2014 года . Проверено 7 октября 2014 года .
  148. ^ "Аналитика безопасности Pravail сети Arbor" . Архивировано из оригинального 11 апреля 2014 года . Проверено 7 октября 2014 года .
  149. ^ «Средство проверки Norton Safeweb Heartbleed» . Архивировано 10 октября 2014 года . Проверено 7 октября 2014 года .
  150. ^ «Инструмент тестирования расширений Heartbleed OpenSSL, CVE-2014-0160» . Possible.lv. Архивировано 11 апреля 2014 года . Проверено 11 апреля 2014 года .
  151. ^ «Проверьте свой сервер на наличие Heartbleed (CVE-2014-0160)» . Архивировано 11 декабря 2017 года . Проверено 25 ноября 2014 года .
  152. ^ "Центр безопасности Cyberoam" . Архивировано из оригинального 15 апреля 2014 года . Проверено 25 ноября 2014 года .
  153. ^ «Critical Watch :: Heartbleed Tester :: CVE-2014-0160» . Heartbleed.criticalwatch.com. Архивировано из оригинального 14 апреля 2014 года . Проверено 14 апреля 2014 года .
  154. ^ "metasploit-framework / openssl_heartbleed.rb на главном сервере" . Архивировано 28 июня 2015 года . Проверено 25 ноября 2014 года .
  155. ^ «Проверка уязвимости OpenSSL Heartbeat (Heartbleed Checker)» . Архивировано 24 декабря 2014 года . Проверено 25 ноября 2014 года .
  156. ^ «Heartbleed Detector: проверьте, уязвима ли ваша ОС Android с помощью нашего приложения» . Lookout Mobile Security . 9 апреля 2014 года. Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  157. ^ "Heartbleed checker" . LastPass . Архивировано 10 апреля 2014 года . Проверено 11 апреля 2014 года .
  158. ^ "Сканер уязвимостей OpenSSL Heartbleed :: Инструменты онлайн-тестирования на проникновение | Инструменты этического взлома" . Pentest-tools.com. Архивировано 13 апреля 2014 года . Проверено 11 апреля 2014 года .
  159. Стаффорд, Джаред (14 апреля 2014 г.). "heartbleed-poc.py" . Red Hat , Inc. Архивировано 12 апреля 2014 года . Проверено 11 апреля 2014 года .
  160. ^ "Тест SSL-сервера Qualys SSL Labs" . Архивировано 7 октября 2014 года . Проверено 7 октября 2014 года .
  161. ^ "Chromebleed" . Архивировано 18 октября 2014 года . Проверено 7 октября 2014 года .
  162. ^ "FoxBleed" . Архивировано из оригинального 12 октября 2014 года . Проверено 7 октября 2014 года .
  163. ^ «Диагностика SSL» . SourceForge . Архивировано 12 октября 2014 года . Проверено 7 октября 2014 года .
  164. ^ "CrowdStrike Heartbleed Scanner" . Архивировано 11 октября 2014 года . Проверено 7 октября 2014 года .
  165. Линн, Самара. «Маршрутизаторы, сетевое оборудование SMB - влияет ли Heartbleed на ваше сетевое устройство?» . PCMag.com. Архивировано 24 апреля 2014 года . Проверено 24 апреля 2014 года .
  166. ^ "Отчет о сайте Netcraft" . Архивировано 17 августа 2014 года . Проверено 7 октября 2014 года .
  167. ^ "Расширения Netcraft" . Архивировано 11 октября 2014 года . Проверено 7 октября 2014 года .
  168. ^ Баранина, Пол (24 июня 2014). «Netcraft выпускает индикатор Heartbleed для Chrome, Firefox и Opera» . Неткрафт . Архивировано 11 июля 2014 года . Проверено 24 июня 2014 года .
  169. ^ "Cyber ​​Desk" . Проверено 6 марта 2021 года .
  170. Манн, Джеффри (9 апреля 2014 г.). «Tenable упрощает обнаружение уязвимости OpenSSL с помощью Nessus и службы периметра Nessus» . Надежная сетевая безопасность. Архивировано 13 апреля 2014 года . Проверено 11 апреля 2014 года .
  171. ^ "Неофициальный выпуск Nmap 6.45" . 12 апреля 2014. архивации с оригинала на 17 апреля 2014 года . Проверено 23 апреля 2014 года .
  172. ^ "VRT: Heartbleed Memory Disclosure - Обновите OpenSSL сейчас!" . 8 апреля 2014. архивации с оригинала на 11 апреля 2014 года . Проверено 11 апреля 2014 года .
  173. ^ «Блоги | Как обнаружить предыдущую уязвимость с кровопролитием» . Русло реки. 9 апреля 2014 года. Архивировано 19 апреля 2014 года . Проверено 19 апреля 2014 года .
  174. ^ «Исправленные серверы остаются уязвимыми для Heartbleed OpenSSL | Хайден Джеймс» . Haydenjames.io. Архивировано 13 апреля 2014 года . Проверено 10 апреля 2014 года .
  175. ^ «Информация об отзыве сертификата безопасности - конкретные реализации» . Гибсон Исследовательская Корпорация. Архивировано 12 мая 2014 года . Проверено 7 июня 2014 .
  176. ^ Кернер, Шон Майкл (19 апреля 2014 г.). «Истинная цена Heartbleed SSL Flaw потребует времени, чтобы подсчитать» . eWEEK . Архивировано 18 января 2021 года . Проверено 24 апреля 2014 года .
  177. ^ a b c d А. Уиллер, Дэвид (29 апреля 2014 г.). «Как предотвратить следующее Heartbleed» . Архивировано 2 февраля 2017 года . Проверено 30 января 2017 года .
  178. Меркель, Роберт (11 апреля 2014 г.). «Как ошибка Heartbleed обнаруживает брешь в сетевой безопасности» . Разговор . Архивировано 17 апреля 2014 года . Проверено 21 апреля 2014 года .
  179. ^ "Re: FYA: http: heartbleed.com" . Гмане . Архивировано из оригинального 11 апреля 2014 года . Проверено 11 апреля 2014 года .
  180. ^ "Небольшой рассказ Тео Де Раадта по OpenSSL" . Slashdot . Игральная кость. 10 апреля 2014. архивации с оригинала на 24 апреля 2014 года . Проверено 22 апреля 2014 года .
  181. ^ Кернер, Шон Майкл (22 апреля 2014 г.). «После Heartbleed OpenSSL разветвляется на LibreSSL» . eWEEK . TechnologyAdvice . Проверено 19 января 2021 года .
  182. ^ Timson, Lia (11 апреля 2014). "Кто такой Робин Сеггельманн и его Heartbleed сломал Интернет?" . Сидней Морнинг Геральд . Архивировано 19 октября 2017 года . Проверено 16 апреля 2020 года .
  183. ^ Уильямс, Крис (11 апреля 2014 г.). «OpenSSL Heartbleed: Кровавый нос для кровоточащих сердец с открытым исходным кодом» . Реестр . Архивировано 19 сентября 2016 года . Проверено 29 августа 2017 года .
  184. ^ Смит, Джерри (10 апреля 2014 г.). «Как можно было избежать худшего кошмара Интернета» . The Huffington Post . Архивировано 19 июля 2017 года . Проверено 16 апреля 2020 года . По словам Лори, которая работает в группе безопасности в Google, ошибка, обнаруженная на этой неделе, была скрыта внутри 10 строк кода и была бы обнаружена в ходе аудита.
  185. ^ a b Уолш, Джон (30 апреля 2014 г.). «Бесплатно может вызвать кровотечение» . Безопасность связи SSH . Архивировано из оригинального 2 -го декабря 2016 года . Проверено 11 сентября +2016 .
  186. ^ Зельцер, Ларри (21 апреля 2014). «OpenBSD разветвляет, сокращает, исправляет OpenSSL» . Нулевой день . ZDNet . Архивировано 21 апреля 2014 года . Проверено 21 апреля 2014 года .
  187. ^ Pagliery Хосе (18 апреля 2014). «Ваша интернет-безопасность зависит от нескольких добровольцев» . CNNMoney . Кабельная Новостная Сеть. Архивировано 7 августа 2020 года . Дата обращения 3 августа 2020 .
  188. ^ a b c Перлрот, Николь (18 апреля 2014 г.). «Heartbleed высвечивает противоречие в сети» . Нью-Йорк Таймс . Архивировано 8 мая 2014 года . Проверено 27 февраля 2017 года .
  189. Перейти ↑ Kaminsky, Dan (10 апреля 2014 г.). «Будь по-прежнему моим разбивающимся сердцем» . Блог Дэна Камински . Архивировано 14 апреля 2014 года . Проверено 22 апреля 2014 года .
  190. ^ Chiusano, Пол (8 декабря 2014). «Неудачная экономика нашего общего программного обеспечения, и что вы можете об этом прямо сейчас» . Блог Пола Кьюзано . Архивировано 6 апреля 2017 года . Проверено 3 ноября 2017 года .
  191. ^ a b «Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware и Linux Foundation формируют новую инициативу по поддержке критически важных проектов с открытым исходным кодом» . Фонд Linux . 24 апреля 2014 года. Архивировано 25 апреля 2014 года . Проверено 25 апреля 2014 года .
  192. Пол, Ян (24 апреля 2014 г.). «Вслед за Heartbleed технические титаны запускают фонд для важнейших проектов с открытым исходным кодом» . PCWorld . Архивировано 25 апреля 2014 года . Проверено 24 апреля 2014 года .
  193. ^ «Google Project Zero стремится предотвратить повторение ошибки Heartbleed Bug» . TechRadar . Архивировано 10 апреля 2017 года . Проверено 9 апреля 2017 года .
  194. Рианна Гринберг, Энди (15 июля 2014 г.). «Познакомьтесь с« Project Zero », секретной командой хакеров Google, занимающихся поиском ошибок» . Проводной . ISSN 1059-1028 . Проверено 6 марта 2019 . 

Библиография [ править ]

  • Брок, Кевин (2019). «К риторическому изучению кода» . Исследования риторического кода . Пресса Мичиганского университета. С. 9–32. ISBN 978-0-472-13127-3. Проверено 19 января 2021 года .
  • Ву, Хан (май 2014 г.). Уязвимость Heartbleed OpenSSL: судебно-медицинский пример в медицинской школе (PDF) . NJMS Advancing Research IT (Отчет). Университет Рутгерса . Проверено 19 января 2021 года .
  • Дурумерик, Закир; и другие. (2014). Дело Heartbleed . Материалы конференции 2014 г. по Internet Measurement Conference . С. 475–488. DOI : 10.1145 / 2663716.2663755 . ISBN 978-1-4503-3213-2.

Внешние ссылки [ править ]

  • Резюме и вопросы и ответы об ошибке от Codenomicon Ltd
  • Информация для канадских организаций и частных лиц
  • Список всех уведомлений о безопасности