Video: What is the Heartbleed bug? (September 2024)
Fancy akronymer som TLS (Transport Layer Security) och SSL (Secure Sockets Layer) låter komplicerat för dem som inte är tränade i nätverkskommunikation. Du kan förvänta dig att Heartbleed-attacken, som drar nytta av ett fel i säker kommunikation, skulle vara något oerhört komplicerat och arcane. Det är det inte. Det är faktiskt löjligt enkelt.
När det fungerar korrekt
Först lite bakgrund. När du ansluter till en säker (HTTPS) webbplats finns det ett slags handskakning för att ställa in den säkra sessionen. Din webbläsare begär och verifierar webbplatsens certifikat, genererar en krypteringsnyckel för den säkra sessionen och krypterar den med webbplatsens offentliga nyckel. Webbplatsen dekrypterar den med motsvarande privat nyckel och sessionen börjar.
En enkel HTTP-anslutning är en serie som inte är relaterade händelser. Din webbläsare begär data från webbplatsen, webbplatsen returnerar dessa data, och det är det, tills nästa begäran. Det är dock bra för båda sidor om en säker anslutning att vara säker på att den andra fortfarande är aktiv. Hjärtslagsförlängningen för TLS låter helt enkelt en enhet bekräfta den andras fortsatta närvaro genom att skicka en specifik nyttolast som den andra enheten skickar tillbaka.
En stor skopa
Hjärtslagslasten är ett datapaket som bland annat innehåller ett fält som definierar nyttolastens längd. En Heartbleed attack innebär att ljuga om nyttolastens längd. Det missbildade hjärtslagspaketet säger att dess längd är 64KB, maximalt möjligt. När buggy-servern tar emot det paketet svarar den genom att kopiera den mängden data från minnet till svarspaketet.
Vad är det i minnet? Det finns inget sätt att berätta. Angriparen måste kamma igenom den och leta efter mönster. Men potentiellt kan allt alls fångas, inklusive krypteringsnycklar, inloggningsuppgifter och mer. Fixet är enkelt - kontrollera att avsändaren inte ljuger om paketlängden. Synd att de inte tänkte göra det i första hand.
Snabbt svar
Eftersom utnyttjandet av detta fel inte lämnar några spår, kan vi inte riktigt säga hur mycket antagligen säker data har stulits. Dr. David Bailey, BAE Systems Applied Intelligence: s CTO för cybersäkerhet, sade "Endast tiden kommer att visa om digitala brottslingar kan utnyttja detta för att skaffa känsliga personuppgifter, ta över användarkonton och identiteter och stjäla pengar. Denna specifika fråga kommer att passera men det belyser ett viktigt inslag i den anslutna världen och illustrerar behovet av att företag och säkerhetsleverantörer båda är smidiga i hur de hanterar frågor som dessa och använder intelligensledda tekniker som förbättrar försvar innan svaga platser attackeras."
Det ser ut som att de flesta webbplatser visar den nödvändiga smidigheten i detta fall. BAE rapporterar att den 8 april fann 628 av de 10 000 bästa webbplatserna sårbara. Den 9 april, i går, var numret nere till 301. Och i morse hade det minskat till 180. Det är ett ganska snabbt svar; låt oss hoppas att anläggningarna snart blir upptagna med att fixa felet.
Infografin nedan illustrerar hur Heartbleed fungerar. Klicka på den för en större bild.
