ハートブリード、私のハートブリードを聞いてください、ああ、ああ

通常、私はソフトウェアのセキュリティについて非常に懐疑的です。関連するソフトウェア業界の主な目的の 1 つは、人々を怖がらせてセキュリティ製品を購入させ、安全だと思われるようにすることだと思います。この最も良い例は、Windows XP 終焉前の Windows マルウェアの状況に関する相反する見解です。Microsoft による 1 つのレポートでは、オペレーティング システムの新しいバージョンがどのように安全であるかが示されています。反対。これにより、最新の openSSL の問題に目を向けることができます。

何人かのユーザー、つまり複数のユーザーが、私のかなりクールなアプローチを考えて、これについて詳しく説明するように私に求めました。実際、これは Windows ではなく、Linux です。これがウェブです。これはまったく別のものです。これは興味深いはずです。

一言で言えばハートブリード

基本的に、Heartbleed は OpenSSL Heartbeat 拡張機能のバグであり、Heartbeat リクエスタがターゲット システムの OpenSSL ライブラリ メモリから任意のペイロードを受信できるようにします。つまり、TLS プロトコル通信に必要なデータだけを返すのではなく、ポーリングされたホストはそれ以上のデータを返します。これは事実上、リクエスタに送信されることを意図していないメモリ ページへのアクセスを意味します。

以上です。問題は、これが多数の Web ホステッド サービスとサイトに影響を及ぼし、大規模な顧客ベースを抱えていることです。ここで、Heartbleed の問題が単なるバグ以上のものになります。

なぜこれが悪いのか

はい、あなたはそれを正しく聞きました。これは深刻な問題だと思います。しかし、標的のサイトからどのような種類のデータが収集された可能性があるかという理由ではありません。つまり、機密情報を盗むことが常に目的であり続けます。それは論外です。

重要なのは、問題がどのように発生したかです。ハートビート バグは、主に 2 つの問題によって引き起こされました。コード開発者が変数の初期化、境界のチェック、または値の戻り値を忘れた場合の 1 つ、不適切な入力検証、プログラミングの不吉な目標。キュービクルの人々が信頼できない主な理由。悲しいかな、それは最高にさえ起こります。 Hello World! の範囲を超えると、できることはほとんどありません。

2 つ目の問題は、openSSL の開発者が free と malloc の独自の実装を使用したことです。これら 2 つのルーチンは、メモリのチャンクを動的に取得および解放するために使用されます。これは、彼らが他の誰よりもよく知っていると思っていたことを意味します。

そうです、問題をそのように分解すると、面倒です。チェルノブイリ事故とほぼ同じ。 1 つの c.l.u.s.t.e.r. に積み上げられた一連の小さな問題。デジタル性交の花束。

できること - 正しい視点

あなたがすることはほとんどありません。本音をいうと。問題は主にサーバー側にあります。確かに、脆弱な openSSL ライブラリを使用するすべてのマシンにも影響します。しかし、Web から情報を取得したり、ゲーム サーバーに接続したりする以外に、デバイスが TLS を使用して他のホストと直接通信する頻度はどれくらいでしょうか?

ただし、大規模なサイトの場合、ブリードされたとしても、トラフィック量が非常に多いため、すべての情報を処理するにはかなりの計算能力が必要であり、メモリの内容がまばらすぎて作成できない可能性があると個人的には思います.首尾一貫した見解。

さて、これは私の勘であり、数学的論文ではありません。考えてみてください。たとえば、Google を見てみましょう。ウェブ関連のサービスを提供する何万ものサーバーを備えた巨大なコンピューティング ファームがあり、それぞれが毎秒数百のリクエストを処理しています。したがって、これらのリソースをハートビートしたとしても、すべてのデータを取得するには独自のサーバーが多数必要になります。さらに、すばらしい SSL を取得しようと懸命に取り組んでいる人は、おそらくこれらのリソースを DoS したくないでしょう。第 3 に、すべての資格情報が盗まれた可能性があるとしても、意味のある方法でスイッチ ネットワーク上のトラフィックをスニッフィングするのは簡単なことではありません。

これはあなたを落ち着かせるためではありません。それはポイントではありません。合理的な方法で問題を調べる必要があるだけです。そうです、理論的にも実際にも、特定の SSL データが漏洩した可能性があります。予防措置として、一部の Web サイトでは、パスワードを変更することを推奨しています。このことを考慮。それは悪い習慣ではありません。さらに、2 要素認証と、異なるサイトで異なるパスワードを使用することもお勧めです。

あなたの懸念を少し和らげるかもしれないことの 1 つは、企業世界の世界中のインストール ベースのほとんどが、ほとんど影響を受けていない古いバージョンのエンタープライズ フレーバーを実行していることです。古い CentOS などは現代的でクールではないため、嫌うかもしれませんが、この場合、結局のところ、それらにはいくつかの用途があります。

エンド ユーザーとして

さて、もしあなたが優れた警察官になりたいのなら、あなたにできることがいくつかあります。人気のあるサイトがまだ悪いバージョンを使用しているかどうかを確認してください。その場合は、報告し、エスカレートして、修正を依頼してください。それはユーザー側からのそれについてです。

パスワード、はい、前に説明しました。この細かいバグは、2 年以上前の 2012 年初頭から存在していたことを覚えておいてください。あなたはずっとそのことに気づいていませんでした。それはおそらく、この問題が広範で秘密裏に顕在化していなかったことを意味します。もしそうなら、2年前から現在までの間に、情報が漏洩した可能性があります.したがって、物事を正しい視点に置く必要があります。

独自のサイトを運営している場合は、責任を持ってシステムを更新し、影響を受けるサービスを停止および開始して、新しいライブラリをメモリにロードすることができます。独自の静的にコンパイルされた openSSL を使用します。これは、事実上、彼らがあなたの更新を見たり使用したりしないことを意味します。

陰謀

当然のことながら、NSA がこのバグについて何年も前から知っていたと主張する新しい新しい NSA 監視陰謀があります。 Google のエンジニアとフィンランドの (つまりアメリカではない) 企業 Codenomicon を含む 2 つの異なる企業がほぼ同時にバグを報告したため、私に尋ねれば、これは疑わしいと言えます。これは、新しい何かが生まれたことを意味します。

したがって、NSAが心配な場合は、ここに救済策があります.マイケル・マンをご存知ですか？彼は、マイアミ・バイス、チェック、ヒート、チェック、そしてレッド・ドラゴンよりもはるかに優れたハンニバル・レクターのバージョンであるマンハンターを含む他の多くの素晴らしい映画を監督した男です.主題歌はハートビートで、マイアミ バイスの多くの素晴らしいエピソードの 1 つでも取り上げられています。さて、この曲を聴けば、完全にはっきりと理解できるでしょう。

心臓の鼓動、心臓の鼓動、私の鼓動を聞いて、ああああ

結論

これはおそらく、デドイメドが、人々が通常の怖がらせるのではなく、真剣に取り組むべき本当のセキュリティ問題があると言うのを聞くのは初めてでしょう.はい、Heartbleed によって引き起こされるメモリ リークは、日常的なマルウェアのナンセンスだけではありません。同時に、企業やサービスプロバイダーが主に対処しなければならない問題でもあります。このゲームでのあなたの役割は小さいです。重要なことは、落ち着いて理性を保つことです。

インターネットのバックボーンが痛むときは、身を乗り出して見守ってください。これは毎日発生するわけではなく、PC が危険にさらされている可能性がある通常の状態からのさわやかな変化です。この場合、それはあなたよりも大きいです。リラックスしてください。

乾杯。