Video: Heartbleed, Running the Code - Computerphile (Septembra 2024)
Efektné skratky ako TLS (Transport Layer Security) a SSL (Secure Sockets Layer) znejú komplikovaným tým, ktorí nie sú vyškolení v sieťovej komunikácii. Očakávali by ste, že útok Heartbleed, ktorý využíva chybu v zabezpečenej komunikácii, bude niečo neuveriteľne zložité a tajomné. Nie je to tak. V skutočnosti je to smiešne jednoduché.
Keď to funguje správne
Najprv trochu pozadia. Ak sa pripájate k zabezpečenej webovej stránke (HTTPS), je potrebné nastaviť zabezpečenú reláciu podaním ruky. Váš prehliadač požaduje a overuje certifikát webu, generuje šifrovací kľúč pre bezpečnú reláciu a šifruje ho pomocou verejného kľúča webu. Stránka ho dešifruje pomocou zodpovedajúceho súkromného kľúča a relácia sa začne.
Jednoduché pripojenie HTTP je séria udalostí nesúvisiacich s udalosťami. Váš prehliadač požaduje údaje z webu, web vráti tieto údaje a to je všetko, až do ďalšej žiadosti. Je však užitočné, aby sa obe strany zabezpečeného pripojenia presvedčili, či je druhá strana stále aktívna. Rozšírenie srdcového rytmu pre TLS jednoducho umožňuje jednému zariadeniu potvrdiť nepretržitú prítomnosť druhého zariadenia odoslaním špecifického užitočného zaťaženia, ktoré druhé zariadenie pošle späť.
Veľký kopček
Užitočné zaťaženie srdca je dátový paket, ktorý obsahuje okrem iného pole, ktoré definuje dĺžku užitočného zaťaženia. Útok typu Heartbleed zahŕňa klamanie o dĺžke užitočného zaťaženia. Malformovaný prezenčný signál srdca hovorí, že jeho dĺžka je 64 kB, maximálna možná. Keď buggy server prijme tento paket, odpovie kopírovaním tohto množstva dát z pamäte do paketu odpovedí.
Čo je v tej pamäti? Neexistuje spôsob, ako to povedať. Útočník sa bude musieť skrúsiť, aby hľadal vzory. Ale bolo by možné zachytiť čokoľvek, vrátane šifrovacích kľúčov, prihlasovacích údajov a ďalších. Oprava je jednoduchá - skontrolujte, či odosielateľ neklamá o dĺžke paketu. Škoda, že si to vôbec nemysleli.
Rýchla odpoveď
Keďže využívanie tejto chyby nezanecháva žiadne stopy, nemôžeme skutočne povedať, koľko údajne bezpečných údajov bolo ukradnutých. David Bailey, technický riaditeľ spoločnosti BAE Systems Applied Intelligence pre počítačovú bezpečnosť, uviedol: „Iba čas ukáže, či to digitálni zločinci dokážu využiť na získanie citlivých osobných údajov, prevzatie používateľských účtov a totožností a odcudzenie peňazí. Tento konkrétny problém prejde, ale Zdôrazňuje dôležitú črtu prepojeného sveta a poukazuje na to, že je potrebné, aby podniky a poskytovatelia bezpečnostných služieb boli agilní v tom, ako riešia problémy, ako sú tieto, a prijali techniky založené na spravodajských informáciách, ktoré zlepšujú obranu skôr, ako sa zaútočia na slabé miesta. ““
Zdá sa, že väčšina webových stránok v tomto prípade preukazuje požadovanú obratnosť. Spoločnosť BAE uvádza, že 8. apríla zistila zraniteľnosť 628 z 10 000 najčastejších webových stránok. 9. apríla včera toto číslo kleslo na 301. A dnes ráno sa zmenšil na 180. To je celkom rýchla reakcia; dúfajme, že sa čoskoro začnú zaoberať opravami chýb.
Infographic nižšie ilustruje, ako fungujú Heartbleed. Kliknutím naň zobrazíte väčšie zobrazenie.
