本日、メインのYandexで、すべてのユーザーにページへのリンクを表示し、パスワードの監視と定期的な変更の重要性に関するヒントを提供します。
おそらくこれを行う理由をご存知でしょう。 CVE-2014-0160は、近年発見された最も深刻な脆弱性の1つです。 これは、特定のサービスやサイトのみに関係していると言っているわけではありません。この脆弱性は、インターネット全体に影響を及ぼしています。 OpenSSLは最も一般的な暗号ライブラリの1つです。 さまざまな推定によると、インターネット上のすべてのHTTPS接続の最大3分の2がこのライブラリを使用して編成されています。
この投稿では、脆弱性情報にどのように反応したか、何を、いつ、なぜ行ったかを説明します。
HeartBleedは、OpenSSLバージョン1.0.1〜1.0.1gに影響を及ぼしました。 以前のバージョンは新しい強力な暗号化プロトコルTLS 1.1およびTLS 1.2をサポートしていなかったため、2013年12月にこのOpenSSLブランチの使用を開始しました(たとえば、プロトコルがサービスをサポートしている強度はこちらで確認できます )。
4月8日火曜日の夜に、脆弱性についての情報が公開されたとすぐに、この脆弱性について学びました。 問題の重大度を分析および評価するには少し時間がかかりました。
ここで重要なのは、高度なアクセシビリティが重要なサービス(これは数百万人の視聴者がいるほぼすべてのYandexサービスです)では、「ホット」または自動的に更新をインストールできないことです。 わずかな不一致-多数のユーザーがサービスを操作する際に問題が発生する場合があります。
Yandexでは、ご存知のように、膨大な数のサーバーとそれらのサーバーの脆弱性をチェックすることが大きな問題になる可能性があります。 幸いなことに、私たちはセキュリティ監査自動化メカニズムを長い間実装してきました。 YaC 2011カンファレンスでそれらについて詳しく話しました。 必要なことは、公開モジュールPoCを、サービスの脆弱性をスキャンするシステムに適したモジュールにすることだけでした。 1時間以内に、私たちはすでに全体像を把握し、すべての責任あるシステム管理者に自動的に通知され、動作するように設定されました。 この場合、実行する必要があるテストは、可能な限り短時間で行われました。 ランチタイムまでに、最大のYandexサービスが更新されました。 監視メカニズムは、将来、問題のあるバージョンのOpenSSLが一部のシステムに存在する可能性を排除するのにも役立ちます。
OpenSSLバージョンをアップグレードすると、Webサーバーへのリクエストおよびレスポンスヘッダーの盗難など、実際にその操作が可能な最も深刻な問題が解決されました。 ウェブサーバーの秘密鍵の盗難は理論的には可能ですが、実際にはいくつかの技術的な困難が伴います。 私たちは、この脆弱性を発見した研究者と同様に、この攻撃によるSSL秘密鍵の盗難は考えにくいと考えています。 ウェブサーバーのメモリから64 kbのデータにパスワードセキュリティに関する小論文を添付できますが、SSLキーが表示されるためには多くの要素が必要です。 ただし、サービスのSSL証明書を徐々に置き換えることにしました。 ところで、重要なYandexサービス(メール、パスポート、クライアント、およびパートナーのYandex.Directインターフェイス)では、 PFSをサポートするHTTPSを使用しています。 したがって、将来、何らかの理由でSSLサーバーの秘密キーが危険にさらされると想定しても、既に完了したユーザーセッションのトラフィックは保護されたままになります。
この不快な話の中で最も難しい部分は、影響を受ける可能性のあるユーザーをどうするかを決めることでした。 問題は、この脆弱性の悪用によってWebサーバーログに痕跡が残らないことでした。 したがって、問題が大量に悪用されたという直接的な証拠は、私たちが持つことはできませんでした。 脆弱性の公開から始まり、更新プログラムがサーバーに展開された瞬間に終了する期間に基づいて構築することにしました。 潜在的に、何百万人ものユーザーの認証データが影響を受ける可能性があります。 大量のrazloginなど、ユーザーの侵害の事実に関する正確な情報がない場合にパスワードの変更を強制することは、善よりもはるかに害を及ぼす可能性があります。
幸いなことに、理論的に苦しむ可能性のあるユーザーのリストが手元にあります。 また、ユーザーセッション内での悪意のあるアクティビティの自動検出の助けを借りて、このようなユーザーにrazloginを指示し、パスワードを変更します。
さらに、すでに述べたように、今日はYandexのメインページにsecurity.yandex.ruページへのリンクがあります。 一般にパスワードは定期的に変更する必要があり、最近の出来事はこれを覚えておくのに十分な理由です。