Çfarë është cenueshmëria e gjakderdhjes?

Një nga dobësitë më të njohura të mesit të viteve 2010 quhej "Heartbleed". Heartbleed ishte veçanërisht serioz sepse softueri që preku "OpenSSL", biblioteka kryesore kriptografike për lidhjet HTTPS, të cilat përdoren shumë gjerësisht. Për t'i bërë gjërat edhe më keq, dobësia kishte qenë e pranishme në OpenSSL për më shumë se dy vjet përpara se të zbulohej, publikohej dhe rregullohej, gjë që nënkuptonte se shumë njerëz po përdornin një version të cenueshëm.

Heartbleed ishte një cenueshmëri e rrjedhjes së të dhënave në shtrirjen e rrahjeve të zemrës që kur shfrytëzohej, nxirrte të dhëna nga RAM-i nga serveri te klienti. Zgjatja e rrahjeve të zemrës përdoret për të mbajtur një lidhje midis serverit të uebit dhe klientit pa bërë një kërkesë normale faqeje.

Në rastin e OpenSSL, klienti dërgon një mesazh në server dhe informon serverin se sa është i gjatë mesazhi, deri në 64 KB. Serveri më pas supozohet të kthejë të njëjtin mesazh. Megjithatë, ajo që është më e rëndësishmja, serveri në të vërtetë nuk kontrolloi nëse mesazhi ishte për aq kohë sa klienti pretendonte se ishte. Kjo do të thoshte se një klient mund të dërgonte një mesazh 10 KB, të pretendonte se ishte 64 KB dhe të merrte një përgjigje 64 KB, me 54 KB shtesë që përbëhet nga 54 KB RAM-i tjetër, pavarësisht se çfarë të dhënash ishin ruajtur atje. Ky proces është vizualizuar mirë nga komiku XKCD #1354 .

Imazhi është dhënë nga xkcd.com .

Duke bërë shumë kërkesa të vogla për rrahje zemre dhe duke pretenduar se ato ishin të mëdha, një sulmues mund të ndërtonte një pamje të shumicës së RAM-it të serverit duke bashkuar përgjigjet së bashku. Të dhënat që ruhen në RAM që mund të rrjedhin përfshijnë çelësat e enkriptimit, certifikatat HTTPS, si dhe të dhënat e pakriptuara POST si emrat e përdoruesve dhe fjalëkalimet.

Shënim: Është më pak i njohur, por protokolli i rrahjeve të zemrës dhe shfrytëzimi funksionuan gjithashtu në drejtimin tjetër. Një server me qëllim të keq mund të ishte konfiguruar për të lexuar deri në 64 KB memorie të përdoruesit për çdo kërkesë për rrahje zemre.

Çështja u zbulua nga studiues të shumtë të sigurisë në mënyrë të pavarur më 1 prill 2014 dhe u zbulua privatisht në OpenSSL në mënyrë që të krijohej një patch. Defekti u publikua kur patch-i u publikua më 7 prill 2014. Zgjidhja më e mirë për të zgjidhur problemin ishte aplikimi i patch-it, por ishte gjithashtu e mundur të korrigjohej problemi duke çaktivizuar zgjatjen e rrahjeve të zemrës nëse rregullimi i menjëhershëm nuk ishte një opsion.

Fatkeqësisht, pavarësisht se shfrytëzimi ishte publik dhe përgjithësisht i njohur, shumë faqe interneti ende nuk u përditësuan menjëherë, me cenueshmërinë që gjendet ende herë pas here edhe vite më vonë. Kjo çoi në një numër rastesh të shfrytëzimit që përdorej për të fituar akses në llogari ose për rrjedhje të të dhënave.