Video: Gusto Mo BUMILIS YUMAMAN? IAlamin at Isapamuhay Mo Ang Mga 15 SKILLS Na Ito! (Nobyembre 2024)
Ang mga magarbong acronym tulad ng TLS (Transport Layer Security) at SSL (Secure Sockets Layer) tunog kumplikado sa mga hindi sanay sa mga komunikasyon sa network. Inaasahan mong ang pag-atake ng Puso, na sinasamantala ang isang bug sa ligtas na mga komunikasyon, ay magiging isang bagay na hindi kapani-paniwalang kumplikado at arcane. Well, hindi. Sa katunayan, nakakatawa itong simple.
Kapag Ito ay Nagtatrabaho nang wasto
Una, isang maliit na background. Kapag kumonekta ka sa isang secure (HTTPS) website, mayroong isang uri ng handshake upang mai-set up ang ligtas na sesyon. Hiniling at pinatunayan ng iyong browser ang sertipiko ng site, bumubuo ng susi ng pag-encrypt para sa ligtas na sesyon, at ini-encrypt ito gamit ang pampublikong susi ng site. Ang site ay decrypts ito gamit ang kaukulang pribadong key, at nagsisimula ang session.
Ang isang simpleng koneksyon sa HTTP ay isang serye ng mga as-kung walang kaugnay na mga kaganapan. Humihiling ang iyong browser ng data mula sa site, ibabalik ng site ang data na iyon, at iyon na, hanggang sa susunod na kahilingan. Gayunpaman, kapaki-pakinabang para sa magkabilang panig ng isang ligtas na koneksyon upang matiyak na ang iba pa ay aktibo pa rin. Ang extension ng tibok ng puso para sa TLS ay nagbibigay-daan lamang sa isang aparato na kumpirmahin ang patuloy na pagkakaroon ng iba sa pamamagitan ng pagpapadala ng isang tukoy na payload na ibabalik ng ibang aparato.
Isang Malaking Scoop
Ang payload ng tibok ng puso ay isang packet ng data na kasama, bukod sa iba pang mga bagay, isang patlang na tumutukoy sa haba ng kargamento. Ang isang atake sa Puso ay nagsasangkot ng pagsisinungaling tungkol sa haba ng kargamento. Sinabi ng malformed heartbeat packet na ang haba nito ay 64KB, ang pinakamataas na posible. Kapag natanggap ng buggy server ang packet na iyon, tumugon ito sa pamamagitan ng pagkopya ng dami ng data mula sa memorya sa packet ng tugon.
Ano lang ang nasa memorya na iyon? Well, walang paraan upang sabihin. Ang magsasalakay ay kailangang magsuklay sa pamamagitan nito naghahanap ng mga pattern. Ngunit potensyal ang anumang maaaring makuha, kabilang ang mga key ng pag-encrypt, mga kredensyal sa pag-login, at higit pa. Ang pag-aayos ay simple - suriin upang matiyak na ang nagpadala ay hindi namamalagi tungkol sa haba ng packet. Masyadong masamang hindi nila inisip na gawin iyon sa unang lugar.
Mabilis na sagot
Dahil ang pagsasamantala sa bug na ito ay walang mga bakas, hindi namin talaga masasabi kung gaano karaming na-secure ang data ay ninakaw. David Bailey, BAE Systems Applied Intelligence's CTO para sa Cyber Security, sinabi "Ang oras lamang ang magsasabi kung ang mga digital na kriminal ay maaaring magsamantala upang makakuha ng sensitibong personal na data, kumuha ng mga account sa gumagamit at pagkakakilanlan at magnakaw ng pera. itinatampok nito ang isang mahalagang tampok ng konektadong mundo at inilalarawan ang pangangailangan para sa mga negosyo at mga nagbibigay ng seguridad na parehong maging maliksi sa kung paano nila tinutugunan ang mga isyu tulad ng mga ito at pinagtibay ang mga diskarte na pinangunahan ng katalinuhan na nagpapabuti ng mga panlaban bago ang mga mahina na lugar ay inaatake. "
Mukhang ang karamihan sa mga website ay nagpapakita ng kinakailangang liksi sa kasong ito. Iniulat ng BAE na noong Abril 8 natagpuan nito ang 628 sa nangungunang 10, 000 website na mahina ang hina. Noong Abril 9, kahapon, ang bilang na iyon ay umabot sa 301. At kaninang umaga ay humina ito sa 180. Iyon ay isang napakabilis na pagtugon; hayaan nating maging abala ang mga holdout sa pag-aayos ng bug sa lalong madaling panahon.
Ang infographic sa ibaba ay naglalarawan lamang kung paano gumana ang Puso. I-click ito para sa isang mas malaking view.
