Video: Heartbleed (Oktober 2024)
Fancy akronymer som TLS (Transport Layer Security) og SSL (Secure Sockets Layer) høres komplisert ut for de som ikke er trent i nettverkskommunikasjon. Du kan forvente at Heartbleed-angrepet, som utnytter en feil i sikker kommunikasjon, ville være noe utrolig komplekst og arcane. Det er det ikke. Det er faktisk latterlig enkelt.
Når det fungerer riktig
Først litt bakgrunn. Når du kobler til et sikkert (HTTPS) nettsted, er det et slags håndtrykk for å sette opp den sikre økten. Nettleseren din ber om og bekrefter nettstedets sertifikat, genererer en krypteringsnøkkel for den sikre økten og krypterer den ved hjelp av nettstedets offentlige nøkkel. Nettstedet dekrypterer det med den tilhørende private nøkkelen, og økten begynner.
En enkel HTTP-tilkobling er en serie med ikke-relaterte hendelser. Nettleseren din ber om data fra nettstedet, nettstedet returnerer disse dataene, og det er det, til neste forespørsel. Det er imidlertid nyttig for begge sider av en sikker tilkobling å være sikker på at den andre fremdeles er aktiv. Hjerteslagutvidelsen for TLS lar ganske enkelt den ene enheten bekrefte den andres fortsatte tilstedeværelse ved å sende en spesifikk nyttelast som den andre enheten sender tilbake.
En stor Scoop
Nyttelasten til hjerteslag er en datapakke som inkluderer blant annet et felt som definerer nyttelastens lengde. Et hjerteinfarkt angrep innebærer å lyve om nyttelastens lengde. Den misdannede hjerteslagspakken sier at lengden er 64 KB, maksimalt mulig. Når buggy-serveren mottar den pakken, svarer den ved å kopiere den mengden data fra minnet til responspakken.
Hva er det i minnet? Det er ingen måte å fortelle om. Angriperen må kamme gjennom den og lete etter mønstre. Men potensielt noe i det hele tatt kan fanges opp, inkludert krypteringsnøkler, påloggingsinformasjon og mer. Løsningen er enkel - sjekk for å sikre at avsenderen ikke lyver om pakkelengden. Synd at de ikke trodde å gjøre det i utgangspunktet.
Rask respons
Siden utnyttelse av denne feilen ikke etterlater spor, kan vi ikke virkelig fortelle hvor mye antatt sikre data som er stjålet. Dr. David Bailey, BAE Systems Applied Intelligence's CTO for Cyber Security, sa "Bare tiden vil vise om digitale kriminelle kan utnytte dette for å skaffe sensitive personopplysninger, overta brukerkontoer og identiteter og stjele penger. Denne spesifikke saken vil passere, men den fremhever et viktig trekk i den tilkoblede verden og illustrerer behovet for at bedrifter og sikkerhetsleverandører både skal være smidige i hvordan de tar opp problemer som disse og tar i bruk etterretningsledede teknikker som forbedrer forsvaret før svake steder blir angrepet."
Det ser ut som de fleste nettsteder viser den nødvendige smidigheten i dette tilfellet. BAE rapporterer at den 8. april fant 628 av de topp 10.000 nettstedene sårbare. 9. april i går var dette tallet nede til 301. Og i morges hadde det sunket til 180. Det er en ganske rask respons; la oss håpe at holdouts blir opptatt med å fikse feilen snart.
Infografien nedenfor illustrerer hvordan Heartbleed fungerer. Klikk på den for en større visning.
