Video: Heartbleed, Running the Code - Computerphile (Dezember 2024)
Ausgefallene Akronyme wie TLS (Transport Layer Security) und SSL (Secure Sockets Layer) klingen kompliziert für diejenigen, die nicht in der Netzwerkkommunikation geschult sind. Sie würden erwarten, dass der Heartbleed-Angriff, bei dem ein Fehler in der sicheren Kommunikation ausgenutzt wird, unglaublich komplex und geheimnisvoll ist. Nun, das ist es nicht. In der Tat ist es lächerlich einfach.
Wenn es richtig funktioniert
Zunächst ein kleiner Hintergrund. Wenn Sie eine Verbindung zu einer sicheren Website (HTTPS) herstellen, wird die sichere Sitzung durch eine Art Handshake eingerichtet. Ihr Browser fordert das Zertifikat der Site an und überprüft es, generiert einen Verschlüsselungsschlüssel für die sichere Sitzung und verschlüsselt ihn mit dem öffentlichen Schlüssel der Site. Die Site entschlüsselt sie mit dem entsprechenden privaten Schlüssel und die Sitzung beginnt.
Eine einfache HTTP-Verbindung besteht aus einer Reihe von Ereignissen, die nicht miteinander zusammenhängen. Ihr Browser fordert Daten von der Site an, die Site gibt diese Daten zurück und das wars bis zur nächsten Anfrage. Es ist jedoch hilfreich, wenn beide Seiten einer sicheren Verbindung sicherstellen, dass die andere weiterhin aktiv ist. Mit der Heartbeat-Erweiterung für TLS kann ein Gerät einfach die fortgesetzte Anwesenheit des anderen Geräts bestätigen, indem es eine bestimmte Nutzlast sendet, die das andere Gerät zurücksendet.
Eine große Kugel
Die Heartbeat-Payload ist ein Datenpaket, das unter anderem ein Feld enthält, das die Payload-Länge definiert. Bei einem Heartbleed-Angriff geht es um die Länge der Nutzlast. Das fehlerhafte Heartbeat-Paket gibt an, dass die maximale Länge 64 KB beträgt. Wenn der fehlerhafte Server dieses Paket empfängt, antwortet er, indem er diese Datenmenge aus dem Speicher in das Antwortpaket kopiert.
Was ist in dieser Erinnerung? Nun, es gibt keine Möglichkeit zu sagen. Der Angreifer muss es durchkämmen und nach Mustern suchen. Möglicherweise kann jedoch alles erfasst werden, einschließlich Verschlüsselungsschlüssel, Anmeldeinformationen und mehr. Die Lösung ist einfach: Stellen Sie sicher, dass der Absender nicht über die Paketlänge lügt. Schade, dass sie nicht daran gedacht haben.
Schnelle Antwort
Da die Ausnutzung dieses Fehlers keine Spuren hinterlässt, können wir nicht genau sagen, wie viele vermeintlich sichere Daten gestohlen wurden. Dr. David Bailey, CTO für Cybersicherheit von BAE Systems Applied Intelligence, sagte: "Nur die Zeit wird zeigen, ob digitale Kriminelle dies ausnutzen können, um sensible persönliche Daten zu erhalten, Benutzerkonten und -identitäten zu übernehmen und Geld zu stehlen. Dieses spezielle Problem wird jedoch vorübergehen Es hebt ein wichtiges Merkmal der vernetzten Welt hervor und verdeutlicht, dass Unternehmen und Sicherheitsanbieter agil sein müssen, wenn sie solche Probleme angehen, und erkenntnisgestützte Techniken anwenden müssen, die die Abwehr verbessern, bevor Schwachstellen angegriffen werden."
Es sieht so aus, als ob die meisten Websites in diesem Fall die erforderliche Agilität aufweisen. Laut BAE waren am 8. April 628 der 10.000 meistbesuchten Websites gefährdet. Am gestrigen 9. April war diese Zahl auf 301 gesunken. Und heute Morgen war sie auf 180 gesunken. Das ist eine ziemlich schnelle Antwort; Hoffen wir, dass die Holdouts bald damit beschäftigt sind, den Fehler zu beheben.
Die folgende Infografik zeigt, wie Heartbleed funktioniert. Klicken Sie darauf für eine größere Ansicht.
