วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
คำย่อที่แปลกใหม่เช่น TLS (Transport Layer Security) และ SSL (Secure Sockets Layer) นั้นซับซ้อนสำหรับผู้ที่ไม่ได้รับการฝึกอบรมเกี่ยวกับการสื่อสารเครือข่าย คุณคาดหวังว่าการโจมตีแบบ Heartbleed ซึ่งใช้ประโยชน์จากข้อบกพร่องในการสื่อสารที่ปลอดภัยจะเป็นสิ่งที่ซับซ้อนและมีความลับอย่างไม่น่าเชื่อ ก็ไม่เป็นไร ในความเป็นจริงมันง่ายอย่างน่าขัน
เมื่อมันทำงานอย่างถูกต้อง
ครั้งแรกพื้นหลังเล็กน้อย เมื่อคุณเชื่อมต่อกับเว็บไซต์ที่ปลอดภัย (HTTPS) มีการจับมือกันหลายวิธีในการตั้งค่าเซสชันที่ปลอดภัย เบราว์เซอร์ของคุณร้องขอและตรวจสอบใบรับรองของไซต์สร้างคีย์การเข้ารหัสสำหรับเซสชันที่ปลอดภัยและเข้ารหัสโดยใช้รหัสสาธารณะของไซต์ ไซต์ถอดรหัสโดยใช้ไพรเวตคีย์ที่เกี่ยวข้องและเซสชันเริ่มต้นขึ้น
การเชื่อมต่อ HTTP อย่างง่ายคือชุดของเหตุการณ์ที่ไม่เกี่ยวข้อง เบราว์เซอร์ของคุณร้องขอข้อมูลจากไซต์นั้นไซต์จะส่งคืนข้อมูลนั้นและนั่นคือจนกว่าจะมีการร้องขอครั้งต่อไป อย่างไรก็ตามมีประโยชน์สำหรับการเชื่อมต่อที่ปลอดภัยทั้งสองด้านเพื่อให้แน่ใจว่าอีกฝ่ายยังทำงานอยู่ ส่วนขยาย heartbeat สำหรับ TLS ช่วยให้อุปกรณ์หนึ่งยืนยันการมีอยู่อย่างต่อเนื่องของอีกฝ่ายด้วยการส่ง payload เฉพาะที่อุปกรณ์อื่นส่งกลับ
ตักใหญ่
อัตราการเต้นของหัวใจเป็นแพ็กเก็ตข้อมูลที่มีฟิลด์ที่กำหนดความยาวของข้อมูล Heartbleed Attack เกี่ยวข้องกับการโกหกเกี่ยวกับความยาวของน้ำหนักบรรทุก แพ็คเก็ต heartbeat ผิดรูปแบบบอกว่าความยาวของมันคือ 64KB ซึ่งเป็นไปได้สูงสุด เมื่อเซิร์ฟเวอร์ buggy ได้รับแพ็คเก็ตนั้นก็จะตอบสนองโดยการคัดลอกปริมาณข้อมูลจากหน่วยความจำลงในแพ็คเก็ตการตอบสนอง
ในความทรงจำนั้นมีอะไร ไม่มีวิธีที่จะบอกได้ ผู้โจมตีจะต้องหวีมันเพื่อหารูปแบบ แต่สิ่งที่อาจเป็นไปได้ทั้งหมดอาจรวมถึงคีย์การเข้ารหัสข้อมูลรับรองการเข้าสู่ระบบและอื่น ๆ การแก้ไขนั้นง่าย - ตรวจสอบเพื่อให้แน่ใจว่าผู้ส่งไม่ได้โกหกเกี่ยวกับความยาวของแพ็กเก็ต น่าเสียดายที่พวกเขาไม่คิดที่จะทำสิ่งนั้นตั้งแต่แรก
การตอบสนองอย่างรวดเร็ว
เนื่องจากการใช้ประโยชน์จากข้อผิดพลาดนี้ทำให้ไม่มีร่องรอยเราจึงไม่สามารถบอกได้ว่าข้อมูลที่ปลอดภัยถูกขโมยไปมากแค่ไหน ดร. David Bailey, CTO ของแอพพลิเคชั่นข่าวกรองด้านความปลอดภัยทางไซเบอร์ของ BAE Systems กล่าวว่า "มีเพียงเวลาเท่านั้นที่จะบอกได้ว่าอาชญากรดิจิทัลสามารถใช้ประโยชน์จากข้อมูลเหล่านี้เพื่อรับข้อมูลส่วนบุคคลที่ละเอียดอ่อนเข้ายึดบัญชีผู้ใช้ มันแสดงให้เห็นถึงคุณลักษณะที่สำคัญของโลกที่เชื่อมต่อกันและแสดงให้เห็นถึงความต้องการของธุรกิจและผู้ให้บริการด้านความปลอดภัยในการรับมือกับปัญหาเช่นนี้และใช้เทคนิคที่นำโดยหน่วยสืบราชการลับที่ปรับปรุงการป้องกันก่อนที่จะถูกโจมตี
ดูเหมือนว่าเว็บไซต์ส่วนใหญ่แสดงให้เห็นถึงความคล่องตัวที่จำเป็นในกรณีนี้ BAE รายงานว่าในวันที่ 8 เมษายนพบ 628 จาก 10, 000 เว็บไซต์ที่มีช่องโหว่ ในวันที่ 9 เมษายนเมื่อวานนี้จำนวนนั้นลดลงเหลือ 301 และเช้านี้มันลดลงเหลือ 180 นั่นเป็นการตอบสนองที่รวดเร็วมาก เราหวังว่าจะมีการยุ่งกับการแก้ไขข้อผิดพลาดในไม่ช้า
อินโฟกราฟิกด้านล่างแสดงให้เห็นว่า Heartbleed ทำงานอย่างไร คลิกเพื่อดูขนาดใหญ่ขึ้น