"Là lỗi cho phép đọc hầu như toàn bộ thông tin trên bộ nhớ của những máy chủ dùng phần mềm nguồn mở OpenSSL (Open Secure Socket Layer), như máy chủ của Google, Facebook, Yahoo,... cùng hàng triệu máy chủ khác (khoảng trên 60% số máy chủ của Internet)."
- Ngày 7/4/2014, trang mạng Heartbleed.com cảnh báo toàn thế giới về lỗi bảo mật mang tên Heartbleed. Heartbleed - một trong những sự cố nghiêm trọng nhất của Internet - xuất phát từ một lỗi lập trình rất đỗi... bình thường.
- SSL là nền tảng chuẩn của giao thức bảo mật HTTPS (do Công ty Netscape đề xuất vào năm 1994), giúp chuyển đổi tên người dùng dịch vụ và mật khẩu tương ứng thành dạng mật mã. Nhờ vậy, trong thao tác đăng nhập dịch vụ trên mạng, tên người dùng và mật khẩu không bị lộ khi truyền qua rất nhiều máy tính trung gian trên đường đi. Mỗi lần nhận được tên người dùng và mật khẩu, máy chủ dùng một chìa khóa bí mật (private key) để giải mật mã. Theo lý thuyết, giải mật mã khi không có chìa khóa bí mật là điều không thể. Tuyệt đối không thể!
- Nhờ lỗi bảo mật của OpenSSL, nhóm an ninh mạng Codenomicon đọc được từng phần khoảng 64 KB trên bộ nhớ máy chủ, phát hiện những tên người dùng đang hoặc đã đăng nhập máy chủ, cùng mật khẩu tương ứng (còn nằm trong bộ nhớ sau khi máy chủ giải mật mã) và phát hiện cả chìa khóa bí mật để giải mật mã! Điều không kém quan trọng là việc xâm nhập được thực hiện thông qua giao dịch với máy chủ như một người dùng bình thường, không để lại chút dấu vết nào có thể khiến người quản trị máy chủ nghi ngờ.
- Nguyên nhân gây lỗi không khó tìm. Lỗi bảo mật xuất hiện trong những phiên bản OpenSSL từ cuối năm 2011, sau khi Robin Seggelmann - nghiên cứu sinh thuộc Đại học Khoa học Ứng dụng Muenster (Đức) - bổ sung chức năng Heartbeat cho OpenSSL. Heartbeat vốn là một chức năng thông thường trong kỹ thuật mạng, nhằm duy trì trạng thái kết nối thường xuyên giữa máy chủ và máy khách, thay cho việc thực hiện thường xuyên một loạt thao tác mất thời gian như khi thiết lập kết nối. Để thực hiện chức năng Heartbeat, máy khách gửi đều đều mẩu nhỏ dữ liệu giả (nội dung không quan trọng) cho máy chủ sau từng khoảng thời gian ngắn, tựa như nhịp đập của tim. Mỗi khi nhận được dữ liệu giả, máy chủ gửi trả ngược về máy khách như một cách báo hiệu máy chủ vẫn đang hoạt động bình thường. "Nhịp tim" xuất hiện xen kẽ những lần trao đổi dữ liệu thực sự giữa máy chủ và máy khách.Chẳng may, trong chức năng Heartbeat của OpenSSL, khi đọc dữ liệu giả để gửi trả, máy chủ chỉ dựa vào khai báo chiều dài dữ liệu của phía khách. Nếu phía khách gửi dữ liệu ngắn hơn 64 KB nhưng khai báo chiều dài 64 KB, máy chủ vẫn gửi trả dữ liệu đủ 64 KB trên bộ nhớ, trong đó, ngoài dữ liệu giả nhận được, còn có nội dung nào đó trong bộ nhớ không thể lường trước. Theo cách như vậy, thông tin trong bộ nhớ của máy chủ bị rò rỉ. Codenomicon gọi đó là hiện tượng Heartbleed, nghĩa là “tim rỉ máu”. Cứ mỗi nhịp đập, tim lại rỉ máu!
Nguồn: http://echip.com.vn/heartbleed---nhip-dap-di-thuong-a20140505072155924-c1107.html
- Ngày 7/4/2014, trang mạng Heartbleed.com cảnh báo toàn thế giới về lỗi bảo mật mang tên Heartbleed. Heartbleed - một trong những sự cố nghiêm trọng nhất của Internet - xuất phát từ một lỗi lập trình rất đỗi... bình thường.
- SSL là nền tảng chuẩn của giao thức bảo mật HTTPS (do Công ty Netscape đề xuất vào năm 1994), giúp chuyển đổi tên người dùng dịch vụ và mật khẩu tương ứng thành dạng mật mã. Nhờ vậy, trong thao tác đăng nhập dịch vụ trên mạng, tên người dùng và mật khẩu không bị lộ khi truyền qua rất nhiều máy tính trung gian trên đường đi. Mỗi lần nhận được tên người dùng và mật khẩu, máy chủ dùng một chìa khóa bí mật (private key) để giải mật mã. Theo lý thuyết, giải mật mã khi không có chìa khóa bí mật là điều không thể. Tuyệt đối không thể!
- Nhờ lỗi bảo mật của OpenSSL, nhóm an ninh mạng Codenomicon đọc được từng phần khoảng 64 KB trên bộ nhớ máy chủ, phát hiện những tên người dùng đang hoặc đã đăng nhập máy chủ, cùng mật khẩu tương ứng (còn nằm trong bộ nhớ sau khi máy chủ giải mật mã) và phát hiện cả chìa khóa bí mật để giải mật mã! Điều không kém quan trọng là việc xâm nhập được thực hiện thông qua giao dịch với máy chủ như một người dùng bình thường, không để lại chút dấu vết nào có thể khiến người quản trị máy chủ nghi ngờ.
- Nguyên nhân gây lỗi không khó tìm. Lỗi bảo mật xuất hiện trong những phiên bản OpenSSL từ cuối năm 2011, sau khi Robin Seggelmann - nghiên cứu sinh thuộc Đại học Khoa học Ứng dụng Muenster (Đức) - bổ sung chức năng Heartbeat cho OpenSSL. Heartbeat vốn là một chức năng thông thường trong kỹ thuật mạng, nhằm duy trì trạng thái kết nối thường xuyên giữa máy chủ và máy khách, thay cho việc thực hiện thường xuyên một loạt thao tác mất thời gian như khi thiết lập kết nối. Để thực hiện chức năng Heartbeat, máy khách gửi đều đều mẩu nhỏ dữ liệu giả (nội dung không quan trọng) cho máy chủ sau từng khoảng thời gian ngắn, tựa như nhịp đập của tim. Mỗi khi nhận được dữ liệu giả, máy chủ gửi trả ngược về máy khách như một cách báo hiệu máy chủ vẫn đang hoạt động bình thường. "Nhịp tim" xuất hiện xen kẽ những lần trao đổi dữ liệu thực sự giữa máy chủ và máy khách.Chẳng may, trong chức năng Heartbeat của OpenSSL, khi đọc dữ liệu giả để gửi trả, máy chủ chỉ dựa vào khai báo chiều dài dữ liệu của phía khách. Nếu phía khách gửi dữ liệu ngắn hơn 64 KB nhưng khai báo chiều dài 64 KB, máy chủ vẫn gửi trả dữ liệu đủ 64 KB trên bộ nhớ, trong đó, ngoài dữ liệu giả nhận được, còn có nội dung nào đó trong bộ nhớ không thể lường trước. Theo cách như vậy, thông tin trong bộ nhớ của máy chủ bị rò rỉ. Codenomicon gọi đó là hiện tượng Heartbleed, nghĩa là “tim rỉ máu”. Cứ mỗi nhịp đập, tim lại rỉ máu!
Nguồn: http://echip.com.vn/heartbleed---nhip-dap-di-thuong-a20140505072155924-c1107.html
Nhận xét