Hvad er Heartbleed-sårbarheden?

En af de mest kendte sårbarheder i midten af ​​2010'erne blev kaldt "Heartbleed". Heartbleed var særligt alvorlig, fordi det var softwaren, den påvirkede "OpenSSL", det vigtigste kryptografiske bibliotek for HTTPS-forbindelser, som er meget udbredt. For at gøre ondt værre havde sårbarheden været til stede i OpenSSL i mere end to år, før den blev opdaget, offentliggjort og rettet, hvilket betød, at mange mennesker brugte en sårbar version.

Heartbleed var en sårbarhed over for datalæk i heartbeat-udvidelsen, der, når den blev udnyttet, lækkede data fra RAM fra serveren til klienten. Heartbeat-udvidelsen bruges til at opretholde en forbindelse mellem webserveren og klienten uden at lave en normal sideanmodning.

I tilfælde af OpenSSL sender klienten en besked til serveren og informerer serveren om, hvor lang beskeden er, op til 64KB. Serveren formodes derefter at ekko den samme besked tilbage. Det er dog afgørende, at serveren faktisk ikke tjekkede, at beskeden var så lang, som klienten hævdede, den var. Dette betød, at en klient kunne sende en 10KB besked, hævde, at den var 64KB og få et 64KB svar, hvor de ekstra 54KB bestod af de næste 54KB RAM, uanset hvilke data der blev gemt der. Denne proces er godt visualiseret af XKCD-tegneserien #1354 .

Billede udlånt af xkcd.com .

Ved at lave en masse små hjerteslagsanmodninger og hævde, at de var store, kunne en angriber bygge et billede af det meste af serverens RAM ved at samle svarene sammen. Data, der er gemt i RAM, som kan blive lækket, omfatter krypteringsnøgler, HTTPS-certifikater samt ukrypterede POST-data såsom brugernavne og adgangskoder.

Bemærk: Det er mindre kendt, men hjerteslagsprotokollen og udnyttelsen virkede også i den anden retning. En ondsindet server kunne være blevet konfigureret til at læse op til 64KB brugerhukommelse pr. hjerteslagsanmodning.

Problemet blev opdaget af flere sikkerhedsforskere uafhængigt den første april 2014 og blev offentliggjort privat til OpenSSL, så en patch kunne oprettes. Fejlen blev offentliggjort, da programrettelsen blev frigivet den syvende april 2014. Den bedste løsning til at løse problemet var at anvende programrettelsen, men det var også muligt at afhjælpe problemet ved at deaktivere hjerteslagsudvidelsen, hvis patchning med det samme ikke var en mulighed.

Desværre, på trods af at udnyttelsen var offentlig og generelt velkendt, blev mange websteder stadig ikke opdateret med det samme, og sårbarheden blev stadig lejlighedsvis fundet, selv år senere. Dette førte til, at en række tilfælde af udnyttelsen blev brugt til at få adgang til konti eller lække data.