Серцебійним: як це працює

Фантазії, такі як TLS (Transport Layer Security) та SSL (Secure Sockets Layer), звучать складніше для тих, хто не навчений мережевим комунікаціям. Ви очікували, що атака Heartbleed, яка використовує помилку в захищеній комунікації, буде чимось неймовірно складним і непрямим. Ну, це не так. Насправді це смішно просто.

Коли це працює правильно

По-перше, трохи тла. Коли ви підключаєтесь до захищеного веб-сайту (HTTPS), для налаштування захищеного сеансу існує певне рукостискання. Ваш веб-переглядач запитує та підтверджує сертифікат сайту, створює ключ шифрування для безпечного сеансу та шифрує його за допомогою відкритого ключа сайту. Сайт розшифровує його за допомогою відповідного приватного ключа, і сеанс починається.

Просте HTTP-з'єднання - це низка неспоріднених подій. Ваш веб-переглядач запитує дані з сайту, сайт повертає ці дані, і це все до наступного запиту. Однак, обережно, щоб обидва боки безпечного з'єднання були впевнені, що інший все ще активний. Розширення серцебиття для TLS просто дозволяє одному пристрою підтвердити постійну присутність іншого, надсилаючи певну корисну навантаження, яку інший пристрій надсилає назад.

Великий совок

Корисне навантаження серцебиття - це пакет даних, який включає, серед іншого, поле, яке визначає довжину корисної навантаження. Серцевий напад включає брехню про довжину корисного навантаження. Пакет із неправильним серцебиттям говорить, що його довжина становить 64 КБ, максимально можлива. Коли баггі-сервер отримує цей пакет, він реагує, копіюючи цю кількість даних з пам'яті в пакет відповідей.

Тільки що в цій пам’яті? Ну, не можна сказати. Зловмиснику доведеться розчісувати його, шукаючи шаблони. Але потенційно все може бути захоплено, включаючи ключі шифрування, облікові дані та інше. Виправлення просте - перевірте, чи відправник не бреше про довжину пакету. Шкода, що вони не думали це робити в першу чергу.

Швидке реагування

Оскільки експлуатація цієї помилки не залишає слідів, ми не можемо реально сказати, скільки нібито захищених даних було вкрадено. Доктор Девід Бейлі, КТО BA при застосуванні інтелектуальної розвідки з питань кібербезпеки, сказав: "Тільки час покаже, чи здатні цифрові злочинці використовувати це для отримання конфіденційних особистих даних, придбання облікових записів користувачів та особистих даних та викрадення грошей. Цей конкретний випуск пройде, але це виокремлює важливу особливість пов'язаного світу та ілюструє необхідність бізнесу та постачальників безпеки бути спритними в тому, як вони вирішують такі проблеми, як і застосовують методи, керовані розвідкою, які покращують захист перед атакою слабких місць ".

Схоже, більшість веб-сайтів демонструють необхідну спритність у цьому випадку. BAE повідомляє, що 8 квітня було виявлено вразливі 628 з 10 000 веб-сайтів. 9 квітня вчора ця кількість знизилася до 301. І сьогодні вранці вона знизилася до 180. Це досить швидка відповідь; сподіваємося, що незабаром зайняті виправлення помилки.

Інфографіка нижче зображує, як працює Heartbleed. Клацніть його для збільшення зображення.