דופק לב: איך זה עובד

ראשי תיבות מפוארים כמו TLS (Transport Layer Security) ו- SSL (Secure Sockets Layer) נשמעים מורכבים לאלה שלא הוכשרו בתקשורת רשת. אפשר היה לצפות שההתקפה של Heartbleed, שמנצלת את החיידק בתקשורת מאובטחת, תהיה משהו מורכב וארכי להפליא. ובכן, זה לא. למען האמת, זה פשוט עד כדי גיחוך.

כאשר זה עובד נכון

ראשית, מעט רקע. כשאתה מתחבר לאתר מאובטח (HTTPS), יש סוג של לחיצת יד להגדרת הפגישה המאובטחת. הדפדפן שלך מבקש ומאמת את אישור האתר, מייצר מפתח הצפנה להפעלה המאובטחת ומצפין אותו באמצעות המפתח הציבורי של האתר. האתר מפענח אותו באמצעות המפתח הפרטי המתאים, וההפעלה מתחילה.

חיבור HTTP פשוט הוא סדרה של אירועים שאינם קשורים. הדפדפן שלך מבקש נתונים מהאתר, האתר מחזיר נתונים אלה וזהו, עד לבקשה הבאה. עם זאת, מועיל לשני הצדדים של חיבור מאובטח לוודא שהאחר עדיין פעיל. הרחבת פעימות הלב עבור TLS פשוט מאפשרת למכשיר אחד לאשר את המשך נוכחותו של האחר על ידי שליחת עומס ספציפי שהמכשיר האחר שולח בחזרה.

סקופ גדול

עומס פעימות הלב הוא חבילת נתונים הכוללת בין היתר שדה המגדיר את אורך המשא. התקף פעימות לב כרוך בשקר של אורך המשא. המנה של דופק הפגום המעוררת אומרת שאורכה 64KB, המרבי האפשרי. כאשר שרת הבאגי מקבל חבילה זו, הוא מגיב על ידי העתקת כמות נתונים זו מהזיכרון לחבילת התגובות.

רק מה יש בזיכרון ההוא? ובכן, אין דרך לדעת. התוקף יצטרך לסרק דרכו בחיפוש אחר דפוסים. אך יכול להיות שתפוס כל דבר, כולל מפתחות הצפנה, אישורי כניסה ועוד. התיקון פשוט - בדוק כדי לוודא שהשולח אינו שוכב באורך המנה. חבל שלא חשבו לעשות זאת מלכתחילה.

תגובה מהירה

מכיוון שניצול באג זה לא מותיר עקבות, איננו יכולים באמת לדעת כמה נגנבים נתונים מאובטחים כביכול. ד"ר דייוויד ביילי, ה- CTO לאבטחת סייבר של BAE Systems Applied Intelligence, אמר כי "רק הזמן יגיד אם פושעים דיגיטליים מסוגלים לנצל זאת כדי לרכוש נתונים אישיים רגישים, להשתלט על חשבונות משתמש וזהויות ולגנוב כסף. נושא ספציפי זה יעבור אך זה אכן מדגיש תכונה חשובה של העולם המחובר וממחיש את הצורך של עסקים וספקי אבטחה להיות שניהם זריזים באשר הם מטפלים בנושאים כמו אלה ולאמץ טכניקות המובילות מודיעין המשפרות את ההגנות לפני שתוקפים נקודות תורפה."

נראה כי מרבית האתרים מדגימים את הזריזות הנדרשת במקרה זה. BAE מדווחת כי ב- 8 באפריל היא מצאה 628 מתוך 10, 000 אתרי האינטרנט המובילים פגיעים. ב- 9 באפריל, אתמול, המספר הזה ירד ל -301. והבוקר הוא דעך ל -180. זו תגובה די מהירה; נקווה שההחזקות עסוקות בתיקון הבאג בקרוב.

האינפוגרפיקה שלהלן ממחישה בדיוק כיצד פועלים הלב. לחץ עליו לתצוגה גדולה יותר.