Video: BEHM - Hei rakas (Lyriikkavideo) (Marraskuu 2024)
Fancy lyhenteet, kuten TLS (Transport Layer Security) ja SSL (Secure Sockets Layer), kuulostavat monimutkaisilta niille, joita ei ole koulutettu verkkoviestintään. Voit olettaa, että Heartbleed-hyökkäys, joka hyödyntää turvallisen viestinnän virhettä, olisi jotain uskomattoman monimutkaista ja kaarevaa. No, se ei ole. Itse asiassa se on naurettavan yksinkertainen.
Kun se toimii oikein
Ensinnäkin pieni tausta. Kun muodostat yhteyden suojattuun (HTTPS) verkkosivustoon, suojatun istunnon määrittämiseen tarvitaan eräänlainen kättely. Selaimesi pyytää ja tarkistaa sivuston varmenteen, luo salausavaimen suojatulle istunnolle ja salaa sen sivuston julkisella avaimella. Sivusto purkaa sen käyttämällä vastaavaa yksityistä avainta, ja istunto alkaa.
Yksinkertainen HTTP-yhteys on sarja ikään kuin ei-toisiinsa liittyviä tapahtumia. Selaimesi pyytää tietoja sivustolta, sivusto palauttaa nämä tiedot, ja se on se, seuraavaan pyyntöön asti. Turvallisen yhteyden molemmille puolille on kuitenkin hyödyllistä olla varma, että toinen on edelleen aktiivinen. TLS: n sykelaajennus antaa yksinkertaisesti yhden laitteen vahvistaa toisen jatkuvan läsnäolon lähettämällä tietyn hyötykuorman, jonka toinen laite lähettää takaisin.
Iso kauha
Sydämen sydämen hyötykuorma on datapaketti, joka sisältää muun muassa kentän, joka määrittelee hyötykuorman pituuden. Sydäntaudin hyökkäykseen kuuluu valehdella hyötykuorman pituudesta. Väärän muotoisen sykepaketin mukaan sen pituus on 64 kt, suurin mahdollinen. Kun buginen palvelin vastaanottaa kyseisen paketin, se vastaa kopioimalla tietomäärä muistista vastauspakettiin.
Mitä siinä muistissa on? No, ei ole mitään keinoa kertoa. Hyökkääjän on kamvattava sen läpi etsien malleja. Mutta potentiaalisesti mitä tahansa voi siepata, mukaan lukien salausavaimet, kirjautumistiedot ja paljon muuta. Korjaus on yksinkertainen - tarkista, että lähettäjä ei valehtele paketin pituudesta. Harmi, että he eivät ajatelleet tekevänsä sitä ensinnäkin.
Nopea vastaus
Koska tämän virheen hyödyntäminen ei jätä jälkiä, emme voi oikein kertoa kuinka paljon oletettavasti turvallisia tietoja on varastettu. Dr. David Bailey, BAE Systemsin sovelletun tiedustelupalvelun kyberturvallisuusjohtaja, sanoi: "Ainoa aika näyttää, pystyvätkö digitaaliset rikolliset hyödyntämään tätä hankkimaan arkaluontoisia henkilötietoja, ottamaan käyttäjätilejä ja henkilöllisyyttä vastaan ja varastamaan rahaa. Tämä erityinen ongelma ohittaa, mutta se tuo kuitenkin esiin kytketyn maailman tärkeän piirteen ja osoittaa, että yritysten ja tietoturvan tarjoajien on molemmat oltava ketterässä tapaan, jolla ne käsittelevät näitä kaltaisia kysymyksiä ja omaavat tiedustelupohjaisia tekniikoita, jotka parantavat puolustusta ennen heikkojen kohtien hyökkäystä."
Näyttää siltä, että useimmat verkkosivustot osoittavat tässä tapauksessa tarvittavan ketteryyden. BAE raportoi, että 8. huhtikuuta se havaitsi 10 000 parhaasta verkkosivustosta 628 haavoittuvan. Eilen 9. huhtikuuta numero laski 301. Ja tänä aamuna se oli vähentynyt 180: een. Se on melko nopea vastaus; Toivotaan, että pidätykset ovat kiireisiä korjaamaan vika pian.
Seuraava infografia kuvaa kuinka Heartbleed toimii. Napsauta sitä saadaksesi suuremman näkymän.