Критическая уязвимость Heartbleed: взгляд изнутри

2014-04-11 12287 комментарии
Как может быть использована Heartbleed - одна из самых критичных уязвимостей в истории OpenSSL. Мгновенная реакция самых популярных сайтов

Необычные аббревиатуры TLS (Transport Layer Security – безопасность транспортного уровня) или SSL (Secure Socket Layers – уровень защищенных сокетов) могут показаться сложными для пользователей, которые не тренировались в сетевых коммуникациях. По этой же причине уязвимость Heartbleed, которая использует ошибки в сетевых протоколах, кажется довольно сложной и скрытой. На самом деле все очень просто.

Нормальный режим работы

Уясним некоторые базовые принципы. Когда Вы подключаетесь к защищенному сайту (протокол HTTPS), сначала происходит согласование для настройки безопасного сеанса. Ваш браузер запрашивает и проверяет сертификат сайта, генерирует ключ шифрования для безопасной сессии и зашифровывает данные с помощью открытого ключа сайта. Сайт расшифровывает информацию с помощью соответствующего закрытого ключа, и, таким образом, сессия начинается.

Простое HTTP представляет собой последовательность несвязанных событий. Браузер запрашивает данные с ресурса, и сайт возвращает эти данные, затем запрос повторяется и т.д. Тем не менее, в случае защищенного соединения важно убедиться, что обе обменивающиеся стороны по-прежнему активны. Расширение heartbeat для TLS просто позволяет одному устройству убедиться в присутствии другого устройства за счет передачи определенной информации, которая должна вернуться обратно.

Ошибка Heartbleed

Данные heartbeat, помимо всего прочего, включают параметр длины. Атака Heartbleed построена на ложном изменении длины данных. Неправильный формат данных heartbeat сообщает, что длина составляет 64 килобайта, максимально возможный размер. Когда сервер с уязвимостью получает этот пакет, он передает такое же количество данных, скопированное из памяти в ответном пакете.

А что содержится в памяти? Ответить на этот вопрос невозможно. Злоумышленнику придется просмотреть эти данные в поисках приватной информации. Потенциально в этих данных могут содержаться ключи шифрования, учетные данные авторизации и другая чувствительная информация. Исправить все очень просто – убедитесь, что отправитель не сообщает неправильную длину пакета.

Быстрая реакция

Поскольку использование данной уязвимости не оставляет следов, нельзя точно сказать, сколько защищенной информации было украдено злоумышленниками. Технический директор отдела кибербезопасности компании BAE Systems Давид Бейли заявил: «Только время покажет, сколько цифровых преступников смогли воспользоваться этим багом для компрометации персональных данных, получение контроля над пользовательскими аккаунтами и для кражи денежных средств. Эта конкретная проблема скоро разрешится, но она наглядно показала важную особенность современного цифрового пространства: необходимость в гибкости при решении данных вопросов со стороны вендоров и компаний, а также необходимость в адаптации интеллектуальных технологий, которые улучшают защиту, еще до того, как слабые места подвергнутся атаке».

Нужно отметить, большинство веб-сайтов продемонстрировали мгновенную реакцию. BAE сообщает, что 8 апреля среди 10000 самых популярных сайтов был 628 уязвимых ресурсов, 9 апреля их количество сократилось до 301, а утром в четверг их было всего 180. Будем надеяться, оставшиеся сайты также в скором времени смогут избавиться от уязвимости.

Инфографика ниже демонстрирует принцип действия Heartbleed (нажмите, чтобы увеличить).

Инфографика демонстрирует принцип действия Heartbleed

По материалам интернет-портала PC Magazine

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте