Назад | Перейти на главную страницу

Является ли опасность ошибки Heartbleed хуже, чем использование соединений без SSL?

Пытаюсь понять все во время чтения http://heartbleed.com/

Это предложение Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will это звучит довольно серьезно.

Сейчас существует множество веб-сайтов частных / небольших компаний, на которых не обязательно используется SSL-шифрование. Возможно ли такое злонамеренное поведение без Heartbleed и SSL? Если да, значит ли это, что каждый сайт без SSL может быть вымышленной версией? Является ли информация, которую можно получить с помощью heartbleed, той же информацией, которую могут получить хакеры, если сайт не зашифрован с помощью SSL или меньше / больше?

В ответ на заглавный вопрос, как это часто бывает с технологиями, это зависит. Одна сердечная атака позволяет злоумышленнику вернуть до 64 КБ из того, что должно быть частной памятью сервера, и прочитать все, что там хранится.

Что там будет храниться? Это зависит. На данный момент секретные ключи, ключи сеанса и данные полезной нагрузки HTTPS относятся к числу вещей, которые злоумышленники нашли в возвращаемом потоке данных. Теоретически это может быть что угодно, но из-за того, как компьютеры распределяют память, очень вероятно, что атакованная служба думала об этом в то время: криптоключи для всех служб, входы HTTP для веб-серверов, почтовые сообщения для Серверы IMAP и так далее. Мне неизвестно, чтобы какой-либо злоумышленник заставил службу возвращать что-либо, кроме секретов, связанных со службой, и пока это правда, heartbleed не представляет ничего хуже, чем делать все открытым текстом.

Одним из важных аспектов, в котором heartbleed хуже, чем соединения с открытым текстом, является то, что с криптовалютой люди ожидали конфиденциальности, поэтому могли вести себя так, как они не поступили бы с открытым текстом, и, следовательно, может быть раскрыто больше. Но это социальная, а не техническая проблема.

да, соединение без SSL может быть просмотрено любым маршрутизатором / сервером, через который проходит трафик, и, поскольку Интернет является маршрутизируемым, теоретически это может быть любой сервер в любом месте (это не так, но может быть).

Если злоумышленник отслеживает захват всего трафика с помощью вредоносного маршрутизатора / сервера, но данные были зашифрованы с помощью SSL, то данные в основном безопасны, пока у атакуемого нет ключей для расшифровки данных, которые будут у конечного сервера.

Если злоумышленник использует heartbleed и получает ключи с целевого сервера, любые зашифрованные данные могут быть расшифрованы. Без учета серверов, использующих PFS что злоумышленник не сможет расшифровать прошлые сеансы SSL. (спасибо @MichelZ за указание на это)

Другой причиной использования SSL является то, что соединение нельзя подделать / изменить без вашего ведома.

Как и во всем, что касается безопасности, при наличии достаточного количества ресурсов все это спорный вопрос.