Необычные аббревиатуры TLS (Transport Layer Security – безопасность транспортного уровня) или SSL (Secure Socket Layers – уровень защищенных сокетов) могут показаться сложными для пользователей, которые не тренировались в сетевых коммуникациях. По этой же причине уязвимость Heartbleed, которая использует ошибки в сетевых протоколах, кажется довольно сложной и скрытой. На самом деле все очень просто.
Нормальный режим работы
Уясним некоторые базовые принципы. Когда Вы подключаетесь к защищенному сайту (протокол HTTPS), сначала происходит согласование для настройки безопасного сеанса. Ваш браузер запрашивает и проверяет сертификат сайта, генерирует ключ шифрования для безопасной сессии и зашифровывает данные с помощью открытого ключа сайта. Сайт расшифровывает информацию с помощью соответствующего закрытого ключа, и, таким образом, сессия начинается.
Простое HTTP представляет собой последовательность несвязанных событий. Браузер запрашивает данные с ресурса, и сайт возвращает эти данные, затем запрос повторяется и т.д. Тем не менее, в случае защищенного соединения важно убедиться, что обе обменивающиеся стороны по-прежнему активны. Расширение heartbeat для TLS просто позволяет одному устройству убедиться в присутствии другого устройства за счет передачи определенной информации, которая должна вернуться обратно.
Ошибка Heartbleed
Данные heartbeat, помимо всего прочего, включают параметр длины. Атака Heartbleed построена на ложном изменении длины данных. Неправильный формат данных heartbeat сообщает, что длина составляет 64 килобайта, максимально возможный размер. Когда сервер с уязвимостью получает этот пакет, он передает такое же количество данных, скопированное из памяти в ответном пакете.
А что содержится в памяти? Ответить на этот вопрос невозможно. Злоумышленнику придется просмотреть эти данные в поисках приватной информации. Потенциально в этих данных могут содержаться ключи шифрования, учетные данные авторизации и другая чувствительная информация. Исправить все очень просто – убедитесь, что отправитель не сообщает неправильную длину пакета.
Быстрая реакция
Поскольку использование данной уязвимости не оставляет следов, нельзя точно сказать, сколько защищенной информации было украдено злоумышленниками. Технический директор отдела кибербезопасности компании BAE Systems Давид Бейли заявил: «Только время покажет, сколько цифровых преступников смогли воспользоваться этим багом для компрометации персональных данных, получение контроля над пользовательскими аккаунтами и для кражи денежных средств. Эта конкретная проблема скоро разрешится, но она наглядно показала важную особенность современного цифрового пространства: необходимость в гибкости при решении данных вопросов со стороны вендоров и компаний, а также необходимость в адаптации интеллектуальных технологий, которые улучшают защиту, еще до того, как слабые места подвергнутся атаке».
Нужно отметить, большинство веб-сайтов продемонстрировали мгновенную реакцию. BAE сообщает, что 8 апреля среди 10000 самых популярных сайтов был 628 уязвимых ресурсов, 9 апреля их количество сократилось до 301, а утром в четверг их было всего 180. Будем надеяться, оставшиеся сайты также в скором времени смогут избавиться от уязвимости.
Инфографика ниже демонстрирует принцип действия Heartbleed (нажмите, чтобы увеличить).
По материалам интернет-портала PC Magazine
Последние обзоры и тесты
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10
• Лучший антивирус 2024: Тестирование 36 антивирусов для Windows 11
• AV-Comparatives 2024: Лучшие антивирусы для Android
• AV-Comparatives 2024: Тестирование защиты антивирусов от интернет-угроз
• Какой антивирус установить на слабый компьютер? Результаты тестирования AV-Comparatives 2024
• Kaspersky Plus и бесплатные антивирусы Microsoft Defender и Avast Free – лучшие в тестировании SE Labs 2024, Q1