418
XKCD förklarar nedan mycket enkelt hur den sk Heartbleed-buggen fungerar.
Källa: XKCD Återpublicerad via Creative Commons Attribution-NonCommercial 2.5 License.
För er som fortfarande inte förstår, så är det alltså bara att kontrollera att servern fortfarande finns på plats (heartbeat), men efterfråga ett längre svar än det efterfrågade, och servern läcker (bleed) då ut även andra anrop till samma krytperingsmodul, OpenSSL, t ex lösenordsbyten.
10 kommentarer
Förklara för en helt okunnig liten grabb!
Om man begär svar på ett trestavigt ord HAT och anger att det skall ha 500 bokstäver borde det väl lätt stoppas direkt?
Uppfyller ej kraven, t.ex.
Kanske skulle mänskligheten behövt en levande Alan Turing även i dagsläget…
Det är det som är buggen, man kontrollerar inte längden. Dock så är detta exempel extremt förenklat och det är inte riktigt så lätt som det ser ut
Eftersom det handlar om det som finns i serverprocessens minne så är det intermittent data som bara är tillgängligt via hålet i anslutning till en användarsession. Sålunda om man följer rådet att genast logga in och byta passord innan de uppgraderat servern så finns risk att man exponerar just det personliga datat som man inte vill exponera. Om man inte loggar in och byter så är det bara de som redan hämtat det i anslutning till en tidigare session som är problem. Så hur man än vänder sig så har man arslet bak. Själv väntar jag några dagar innan jag byter passord. Vad gäller bankärenden med autentiseringsdosa torde det vara ganska riskfritt oavsett.
Helt korrekt. Och faktum är att det inte är så lätt att faktiskt få tag på någons lösenord genom heartbleed.
Eftersom lösenord oftast ligger lagrade i databaser, och de kommer man inte åt "bara sådär" eftersom de sköts av en helt annan process och ligger oftast dessutom på lagrad media.
Även om man får sessions-cookien och blir inloggad i tjänsten så är det få tjänster där man faktiskt kan få ut sitt lösenord i klartext, oftast kan man bara byta lösenord.
Nä jag vet, men i det tidigare inlägget fanns en länk till någon artikel där de faktiskt hade fått ut ett passord i klartext.
Sen har många tjänster inte så himla stor betydelse om någon hackar dem. T.ex. Facebook. Vad ska de göra, logga in och skriva en massa okväden, eller trolla på någon obskyr blogg under ens pseudonym.
Man kan absolut få ut lösenord i klartext, om du loggar in på en sida och någon kör "heartbleed" direkt efter så kommer de troligtvis att få ditt lösenord.
Om det nu är någon som de senaste 6 månader suttit och kört heartbleed kontinuerligt mot en tjänst så har de troligtvis fått en hel del lösenord.
Om man har haft "kom ihåg mig" ikryssat så är risken för att man har delat ut just sitt lösenord mindre.
Sen är ju det mesta inte text som bilden i exemplet antyder, utan en massa annat som är helt obegripligt om man inte har en debugger och källkoden till hands.
Om man spammar tjänsten med felaktiga inloggningar, och lösenordsverifieringen sker i samma process som ssl-termineringen (hypotetiskt apache med mod_ssl och mod_perl/python/php, etc) så är det inte omöjligt att man kan plocka ut rätt lösenord (eller en osaltad hash) med heartbleed eftersom det nyligen använts för strängjämförelse.
Svenskar oförberedda på kris
Tips lada vore bra, blir lixom off topic annars…
Är det inte lite anmärkningsvärt att Google rapporterade buggen mer eller mindre samtidigt som finnarna, kanske före. En slump? Eller var det så att underrättelseorganisationen Google snappade upp kommunikation om buggen som gissningsvis föregick att den rapporterades till OpenSSL?