Видео: Hackerdom-12-05 OpenSSL Heartbleed (Ноябрь 2024)
Причудливые аббревиатуры, такие как TLS (Transport Layer Security) и SSL (Secure Sockets Layer), кажутся сложными для тех, кто не обучен сетевым коммуникациям. Вы ожидаете, что атака Heartbleed, которая использует ошибку в безопасных коммуникациях, будет чем-то невероятно сложным и загадочным. Ну, это не так. На самом деле, это смехотворно просто.
Когда он работает правильно
Сначала немного предыстории. Когда вы подключаетесь к безопасному (HTTPS) веб-сайту, возникает своего рода рукопожатие для настройки безопасного сеанса. Ваш браузер запрашивает и проверяет сертификат сайта, генерирует ключ шифрования для безопасного сеанса и шифрует его, используя открытый ключ сайта. Сайт расшифровывает его, используя соответствующий закрытый ключ, и сессия начинается.
Простое HTTP-соединение представляет собой серию несвязанных событий. Ваш браузер запрашивает данные с сайта, сайт возвращает эти данные, и все, до следующего запроса. Однако для обеих сторон безопасного соединения полезно быть уверенным, что другая сторона все еще активна. Расширение пульса для TLS просто позволяет одному устройству подтвердить постоянное присутствие другого, отправив определенную полезную нагрузку, которую другое устройство отправляет обратно.
Большой совок
Полезная нагрузка пульса - это пакет данных, который включает, помимо прочего, поле, определяющее длину полезной нагрузки. Атака Heartbleed включает в себя ложь о длине полезной нагрузки. Пакет с поврежденным сердцебиением говорит, что его длина составляет максимально 64 КБ. Когда ошибочный сервер получает этот пакет, он отвечает, копируя это количество данных из памяти в ответный пакет.
Что в этой памяти? Ну, нет никакого способа сказать. Атакующему придется прочесывать его в поисках закономерностей. Но потенциально все может быть захвачено, включая ключи шифрования, учетные данные для входа и многое другое. Исправить это просто - проверьте, чтобы убедиться, что отправитель не лжет о длине пакета. Жаль, что они не думали делать это в первую очередь.
Быстрый ответ
Поскольку использование этой ошибки не оставляет следов, мы не можем точно сказать, сколько предположительно защищенных данных было украдено. Д-р Дэвид Бейли, технический директор BAE Systems Applied Intelligence по вопросам кибербезопасности, сказал: «Только время покажет, смогут ли цифровые преступники использовать это для получения конфиденциальных личных данных, захвата учетных записей пользователей и идентификации и кражи денег. Эта конкретная проблема пройдет, но он подчеркивает важную особенность подключенного мира и иллюстрирует необходимость того, чтобы компании и провайдеры безопасности были гибкими в том, как они решают подобные проблемы, и применяют интеллектуальные методы, которые улучшают защиту, прежде чем атаковать уязвимые места ».
Похоже, что большинство сайтов демонстрируют необходимую гибкость в этом случае. BAE сообщает, что 8 апреля было обнаружено 628 из 10 000 лучших веб-сайтов уязвимыми. Вчера, 9 апреля, это число сократилось до 301. А сегодня утром оно сократилось до 180. Это довольно быстрый ответ; будем надеяться, что несогласные скоро займутся исправлением ошибки.
Инфографика ниже иллюстрирует, как работает Heartbleed. Нажмите на картинку для увеличения.