2010'ların ortalarındaki en iyi bilinen güvenlik açıklarından biri “Heartbleed” olarak adlandırıldı. Heartbleed, HTTPS bağlantıları için çok yaygın olarak kullanılan ana şifreleme kitaplığı olan “OpenSSL”yi etkilediği için özellikle ciddiydi. Daha da kötüsü, güvenlik açığı OpenSSL'de iki yıldan fazla bir süredir mevcuttu. keşfedildi, yayınlandı ve yamalandı, bu da birçok insanın savunmasız bir sistem kullandığı anlamına geliyordu. sürüm.
Heartbleed, kalp atışı uzantısındaki bir veri sızıntısı güvenlik açığıydı ve istismar edildiğinde sunucudan istemciye RAM'den veri sızdırıldı. Heartbeat uzantısı, normal bir sayfa isteğinde bulunmadan web sunucusu ve istemci arasındaki bağlantıyı sürdürmek için kullanılır.
OpenSSL durumunda, istemci sunucuya bir mesaj gönderir ve mesajın 64 KB'a kadar ne kadar sürdüğünü sunucuya bildirir. Sunucunun daha sonra aynı mesajı geri göndermesi gerekiyor. Ancak en önemlisi, sunucu aslında mesajın müşterinin iddia ettiği kadar uzun olup olmadığını kontrol etmedi. Bu, bir müşterinin 10 KB'lık bir mesaj gönderebileceği, 64 KB olduğunu iddia edebileceği ve 64 KB'lık bir yanıt alabileceği anlamına geliyordu, ekstra 54 KB, orada hangi veriler saklanırsa saklansın, sonraki 54 KB RAM'den oluşuyordu. Bu süreç, iyi bir şekilde görselleştirilmiştir.
XKCD çizgi roman #1354.
Resim nezaket xkcd.com.
Saldırgan, çok sayıda küçük kalp atışı isteğinde bulunarak ve bunların büyük olduklarını iddia ederek, yanıtları bir araya getirerek sunucunun RAM'inin çoğunun bir resmini oluşturabilir. RAM'de saklanan ve sızdırılabilecek veriler arasında şifreleme anahtarları, HTTPS sertifikaları ve ayrıca kullanıcı adları ve parolalar gibi şifrelenmemiş POST verileri bulunur.
Not: Daha az bilinir, ancak kalp atışı protokolü ve istismar da diğer yönde çalıştı. Kötü amaçlı bir sunucu, kalp atışı isteği başına 64 KB'a kadar kullanıcı belleği okuyacak şekilde yapılandırılmış olabilir.
Sorun, ilk Nisan 2014'te bağımsız olarak birden fazla güvenlik araştırmacısı tarafından keşfedildi ve bir yama oluşturulabilmesi için OpenSSL'ye özel olarak ifşa edildi. Hata, yama yedi Nisan 2014'te yayınlandığında duyuruldu. Sorunu çözmek için en iyi çözüm yamayı uygulamaktı, ancak hemen yama yapmak bir seçenek değilse, kalp atışı uzantısını devre dışı bırakarak sorunu gidermek de mümkündü.
Ne yazık ki, istismarın herkese açık olmasına ve genel olarak iyi bilinmesine rağmen, birçok web sitesi hala hemen güncellenmedi ve güvenlik açığı yıllar sonra bile arada sırada bulundu. Bu, hesaplara erişim elde etmek veya veri sızdırmak için kullanılan bir dizi istismar örneğine yol açtı.