Сърдечно сърце: как работи

Фантастични съкращения като TLS (Transport Layer Security) и SSL (Secure Sockets Layer) звучат сложно за тези, които не са обучени в мрежовите комуникации. Можете да очаквате, че атаката на Heartbleed, която се възползва от грешка в сигурните комуникации, ще бъде нещо изключително сложно и тайнствено. Е, не е така. Всъщност е нелепо просто.

Когато работи правилно

Първо, малко предистория. Когато се свързвате със защитен (HTTPS) уебсайт, има вид ръкостискане, за да настроите защитената сесия. Вашият браузър изисква и проверява сертификата на сайта, генерира ключ за криптиране за сигурната сесия и го криптира с помощта на публичния ключ на сайта. Сайтът го дешифрира с помощта на съответния частен ключ и сесията започва.

Простата HTTP връзка представлява поредица от несвързани събития. Вашият браузър иска данни от сайта, сайтът връща тези данни и това е всичко до следващото искане. Полезно е обаче двете страни на защитена връзка да са сигурни, че другата все още е активна. Разширението на сърдечния ритъм за TLS просто позволява на едно устройство да потвърди продължителното присъствие на другото, като изпраща конкретен полезен товар, който другото устройство изпраща обратно.

Голяма лъжичка

Сърдечният полезен товар е пакет от данни, който включва, наред с други неща, поле, което определя дължината на полезния товар. Пристъп на сърцето включва лъжа за дължината на полезния товар. Неправилно формираният сърдечен пакет казва, че дължината му е 64KB, максимално възможна. Когато бъги сървърът получи този пакет, той отговаря, като копира това количество данни от паметта в пакета за отговор.

Само какво има в този спомен? Е, няма начин да се каже. Нападателят ще трябва да се сресва през него, търсейки модели. Но потенциално всичко може да бъде заснето, включително ключове за криптиране, идентификационни данни за вход и други. Поправката е проста - проверете дали подателят не лъже за дължината на пакета. Жалко, че не мислеха да направят това на първо място.

Бърз отговор

Тъй като експлоатацията на този бъг не оставя следи, всъщност не можем да кажем колко уж сигурни данни са били откраднати. Д-р Дейвид Бейли, CTO за приложна интелигентност на BAE Systems за киберсигурност, каза: „Само времето ще покаже дали цифровите престъпници са в състояние да използват това, за да придобият чувствителни лични данни, да вземат потребителски акаунти и идентичности и да откраднат пари. Този конкретен проблем ще премине, но той подчертава важна характеристика на свързания свят и илюстрира необходимостта предприятията и доставчиците на сигурност да бъдат пъргави в начина, по който решават проблеми като тези и приемат техники, ръководени от разузнаването, които подобряват защитата, преди да бъдат атакувани слабите места."

Изглежда повечето уебсайтове демонстрират необходимата гъвкавост в този случай. BAE съобщава, че на 8 април намери 628 от топ 10 000 уебсайта уязвими. На 9 април вчера този брой е спаднал до 301. И тази сутрин е намалял до 180. Това е доста бърз отговор; да се надяваме, че задръжките се заемат с поправянето на грешката скоро.

Инфографиката по-долу илюстрира как работи Heartbleed. Щракнете върху него за по-голям изглед.