Heartbleed: come funziona

Acronimi fantasiosi come TLS (Transport Layer Security) e SSL (Secure Sockets Layer) sembrano complicati per coloro che non sono addestrati nelle comunicazioni di rete. Ti aspetteresti che l'attacco Heartbleed, che sfrutta un bug nelle comunicazioni sicure, sarebbe qualcosa di incredibilmente complesso e arcano. Beh, non lo è. In effetti, è ridicolmente semplice.

Quando funziona correttamente

Innanzitutto, un piccolo sfondo. Quando ti connetti con un sito Web sicuro (HTTPS), c'è una sorta di stretta di mano per impostare la sessione sicura. Il browser richiede e verifica il certificato del sito, genera una chiave di crittografia per la sessione sicura e lo crittografa utilizzando la chiave pubblica del sito. Il sito lo decodifica utilizzando la chiave privata corrispondente e la sessione ha inizio.

Una semplice connessione HTTP è una serie di eventi as-if non correlati. Il tuo browser richiede i dati dal sito, il sito restituisce tali dati e basta, fino alla prossima richiesta. Tuttavia, è utile per entrambi i lati di una connessione sicura assicurarsi che l'altro sia ancora attivo. L'estensione heartbeat per TLS consente semplicemente a un dispositivo di confermare la presenza continua dell'altro inviando un payload specifico che l'altro dispositivo invia.

Un grande scoop

Il payload heartbeat è un pacchetto di dati che include, tra l'altro, un campo che definisce la lunghezza del payload. Un attacco Heartbleed implica mentire sulla lunghezza del carico utile. Il pacchetto di battito cardiaco non valido afferma che la sua lunghezza è di 64 KB, il massimo possibile. Quando il server buggy riceve quel pacchetto, risponde copiando quella quantità di dati dalla memoria nel pacchetto di risposta.

Cosa c'è in quel ricordo? Bene, non c'è modo di dirlo. L'attaccante dovrà pettinarlo alla ricerca di schemi. Ma potenzialmente tutto potrebbe essere catturato, comprese le chiavi di crittografia, le credenziali di accesso e altro ancora. La correzione è semplice: controlla che il mittente non stia mentendo sulla lunghezza del pacchetto. Peccato che non pensassero di farlo in primo luogo.

Risposta rapida

Poiché lo sfruttamento di questo bug non lascia tracce, non possiamo davvero dire quanti dati presumibilmente sicuri sono stati rubati. Il Dott. David Bailey, CTO di BAE Systems Applied Intelligence per la Cyber ​​Security, ha dichiarato: "Solo il tempo potrà dire se i criminali digitali sono in grado di sfruttarli per acquisire dati personali sensibili, acquisire account e identità degli utenti e rubare denaro. mette in evidenza un'importante caratteristica del mondo connesso e illustra la necessità che le imprese e i fornitori di sicurezza siano entrambi agili nel modo in cui affrontano problemi come questi e adottano tecniche basate sull'intelligence che migliorano le difese prima che vengano attaccati i punti deboli ".

Sembra che la maggior parte dei siti Web stia dimostrando l'agilità richiesta in questo caso. BAE riferisce che l'8 aprile ha trovato vulnerabili 628 dei primi 10.000 siti Web. Il 9 aprile, ieri, quel numero era sceso a 301. E questa mattina si era ridotto a 180. È una risposta abbastanza veloce; speriamo che gli holdout si impegnino presto a correggere il bug.

L'infografica che segue mostra come funziona Heartbleed. Fare clic per ingrandirlo.