Video: Heartbleed, Running the Code - Computerphile (November 2024)
Možni akronimi, kot sta TLS (Transport Layer Security) in SSL (Secure Sockets Layer), zvenijo zapleteno za tiste, ki niso usposobljeni za omrežno komunikacijo. Pričakovali bi, da bo napad Heartbleed, ki izkoristi napako v varni komunikaciji, nekaj neverjetno zapletenega in skrivnostnega. Pa saj ni. Pravzaprav je smešno preprosto.
Ko deluje pravilno
Najprej malo ozadja. Ko se povežete z varnim (HTTPS) spletnim mestom, obstaja nekakšen stisk roke za nastavitev varne seje. Vaš brskalnik zahteva in preveri potrdilo spletnega mesta, ustvari šifrirni ključ za varno sejo in ga šifrira z javnim ključem spletnega mesta. Spletno mesto ga dešifrira z ustreznim zasebnim ključem in seja se začne.
Preprosta povezava HTTP je vrsta medsebojno nepovezanih dogodkov. Vaš brskalnik zahteva podatke s spletnega mesta, spletno mesto te podatke vrne in to je vse do naslednje zahteve. Vendar je koristno, da se obe strani varne povezave prepričata, da je druga še vedno aktivna. Podaljšek srčnega utripa za TLS preprosto omogoča, da ena naprava potrdi nadaljnjo prisotnost druge s pošiljanjem določenega bremena, ki ga druga naprava pošlje nazaj.
Velika zajemalka
Obremenitev srčnega utripa je podatkovni paket, ki med drugim vključuje polje, ki določa dolžino koristnega bremena. Napad s srčnimi napadi vključuje laganje o dolžini koristnega bremena. V paketu z napačnim oblikovanjem srčnega utripa piše, da je njegova dolžina 64 KB, kar je največ. Ko napačni strežnik prejme ta paket, se odzove tako, da kopira to količino podatkov iz pomnilnika v odzivni paket.
Le kaj je v tem spominu? No, ni načina za povedati. Napadalec se bo moral česati skozi to in iskati vzorce. Toda potencialno bi bilo mogoče zajeti karkoli, vključno s šifrirnimi ključi, poverilnimi podatki in še več. Popravek je preprost - preverite, ali pošiljatelj ne laže o dolžini paketa. Škoda, da si tega sploh niso mislili storiti.
Hiter odziv
Ker izkoriščanje te hrošče ne pušča sledi, ne moremo zares povedati, koliko domnevno varnih podatkov je bilo ukradeno. Dr. David Bailey, CTO za aplikativno inteligenco BAE Systems, je dejal: "Le čas bo pokazal, ali digitalni kriminalci to znajo izkoristiti za pridobivanje občutljivih osebnih podatkov, prevzem uporabniških računov in identitet ter krajo denarja. izpostavlja pomembno značilnost povezanega sveta in ponazarja potrebo po tem, da se podjetja in ponudniki varnosti prilagodijo, kako obravnavajo vprašanja, kot so ta, in sprejmejo tehnike, ki jih vodijo obveščevalni podatki, ki izboljšajo obrambo pred napadi šibkih točk."
Zdi se, da večina spletnih mest v tem primeru pokaže potrebno okretnost. BAE poroča, da je 8. aprila ugotovilo, da je 628 najboljših 10.000 spletnih strani ranljivih. Včeraj, 9. aprila, se je ta številka zmanjšala na 301. In danes zjutraj se je zmanjšala na 180. To je precej hiter odziv; upajmo, da se bodo srečanja kmalu zapletla s odpravljanjem napake.
Spodnja infografija prikazuje, kako deluje Heartbleed. Kliknite za večji prikaz.