Video: What is the Heartbleed bug? (November 2024)
Buitensporige acroniemen zoals TLS (Transport Layer Security) en SSL (Secure Sockets Layer) klinken ingewikkeld voor degenen die niet getraind zijn in netwerkcommunicatie. Je zou verwachten dat de Heartbleed-aanval, die profiteert van een bug in beveiligde communicatie, iets ongelooflijk complexs en geheimzinnigs zou zijn. Nou, dat is het niet. Het is eigenlijk belachelijk eenvoudig.
Wanneer het correct werkt
Eerst een beetje achtergrondinformatie. Wanneer u verbinding maakt met een beveiligde (HTTPS) website, is er een soort handshake om de beveiligde sessie in te stellen. Uw browser vraagt en verifieert het certificaat van de site, genereert een coderingssleutel voor de beveiligde sessie en codeert deze met de openbare sleutel van de site. De site decodeert deze met de bijbehorende persoonlijke sleutel en de sessie begint.
Een eenvoudige HTTP-verbinding is een reeks as-if-gerelateerde gebeurtenissen. Uw browser vraagt om gegevens van de site, de site retourneert die gegevens, en dat is alles, tot het volgende verzoek. Het is echter handig voor beide zijden van een beveiligde verbinding om te zorgen dat de andere nog steeds actief is. Met de heartbeat-extensie voor TLS kan het ene apparaat eenvoudigweg de aanwezigheid van de ander bevestigen door een specifieke nuttige lading te verzenden die het andere apparaat terugstuurt.
Een grote primeur
De heartbeat-payload is een datapakket dat onder andere een veld bevat dat de lengte van de payload definieert. Een Heartbleed-aanval houdt in dat je liegt over de lengte van de lading. Het misvormde hartslagpakket zegt dat de lengte 64 KB is, de maximaal mogelijke. Wanneer de buggy-server dat pakket ontvangt, reageert deze door die hoeveelheid gegevens uit het geheugen naar het antwoordpakket te kopiëren.
Wat zit er precies in die herinnering? Nou, er is geen manier om het te vertellen. De aanvaller moet er doorheen kammen op zoek naar patronen. Maar mogelijk kan alles worden vastgelegd, inclusief coderingssleutels, inloggegevens en meer. De oplossing is eenvoudig: controleer of de afzender niet over de pakketlengte liegt. Jammer dat ze dat in de eerste plaats niet dachten te doen.
Snelle reactie
Omdat de exploitatie van deze bug geen sporen achterlaat, kunnen we niet echt zeggen hoeveel zogenaamd beveiligde gegevens zijn gestolen. Dr. David Bailey, CTO van Cyber Security van BAE Systems Applied Intelligence, zei: "Alleen de tijd zal uitwijzen of digitale criminelen in staat zijn dit te gebruiken om gevoelige persoonlijke gegevens te verkrijgen, gebruikersaccounts en identiteiten over te nemen en geld te stelen. het benadrukt wel een belangrijk kenmerk van de geconnecteerde wereld en illustreert de noodzaak voor bedrijven en beveiligingsproviders om beide behendig te zijn in het omgaan met dit soort zaken en door intelligentie geleide technieken te gebruiken die de verdediging verbeteren voordat zwakke plekken worden aangevallen."
Het lijkt erop dat de meeste websites in dit geval de vereiste flexibiliteit tonen. BAE meldt dat het op 8 april 628 van de top 10.000 websites kwetsbaar vond. Op 9 april, gisteren, was dat aantal gedaald tot 301. En vanmorgen was het afgenomen tot 180. Dat is een vrij snelle reactie; laten we hopen dat de holdouts snel bezig zijn met het oplossen van de bug.
De onderstaande infographic illustreert hoe Heartbleed werkt. Klik erop voor een grotere weergave.
