Ugrás a tartalomhoz

Heartbleed

A Wikiszótárból, a nyitott szótárból

Angol


Főnév

Heartbleed (tsz. Heartbleeds)

  1. (informatika) A Heartbleed egy kritikus biztonsági sérülékenység volt, amely az OpenSSL könyvtárban jelent meg, és 2014-ben vált nyilvánossá. Az OpenSSL egy széles körben használt, nyílt forráskódú implementációja az SSL és TLS protokolloknak, amelyek az internetes titkosított adatforgalom alapját képezik.

A Heartbleed hibát a Codenomicon biztonsági cég és a Google biztonsági kutatója, Neel Mehta fedezte fel, és a CVE-2014-0160 azonosítót kapta. Ez a hiba lehetővé tette, hogy támadók akár 64 kilobájt memóriát olvassanak ki a sebezhető szerverekről, így érzékeny adatok (pl. titkos kulcsok, jelszavak, személyes adatok) kerülhettek illetéktelen kezekbe.


Az OpenSSL és a TLS/SSL rövid ismertetése

Az OpenSSL a legnépszerűbb titkosítási könyvtár a TLS (Transport Layer Security) és annak elődje, az SSL (Secure Sockets Layer) protokoll implementálására. Ezek a protokollok biztosítják, hogy a böngésző és a szerver közti kommunikáció titkosított és hitelesített legyen.

Az OpenSSL-t számos webkiszolgáló, levelezőszerver, VPN és más internetes alkalmazás használja világszerte.


Mi volt a Heartbleed hiba?

A Heartbleed a TLS Heartbeat Extension (szívverés kiterjesztés) implementációjában volt megtalálható. A szívverés funkció célja, hogy fenntartsa a biztonságos kapcsolatot a kliens és a szerver között úgy, hogy időről időre “életjeleket” küld egymásnak, megakadályozva a kapcsolat idő előtti megszakadását.

A hibás implementáció miatt azonban a támadó nem csak a kért “szívverés” üzenetet küldhette vissza, hanem akár 64 KB véletlenszerű memóriaterületet is lehívhatott a szerverről, anélkül hogy jogosultsággal rendelkezett volna rá.


A hiba technikai magyarázata

A TLS heartbeat protokoll során a kliens egy üzenetet küld, amely tartalmaz egy adatmezőt és annak hosszát. A szerver visszaküldi ugyanezt az adatot.

A Heartbleed hibája abból fakadt, hogy az OpenSSL nem ellenőrizte megfelelően, hogy az adatmező tényleges hossza megegyezik-e a kliens által megadott hosszúsággal. Így a támadó egy rövidebb adatmezőt küldött, de a hossz értékét nagyobbra állította. Az OpenSSL visszaküldte a tényleges adatmezőt, majd a memóriában az ezt követő adatokat is, akár véletlenszerű memóriatartalmat, ami érzékeny információkat tartalmazhatott. Ez egy heap over-read típusú sérülékenység volt.


Hatásai és következményei

A Heartbleed hatása rendkívül súlyos volt:

  • Adatszivárgás: Titkos kulcsok, felhasználói jelszavak, SSL tanúsítványok, személyes adatok kerülhettek ki.
  • Bizalomvesztés: Sok weboldal és szolgáltatás érintett volt, köztük bankok, közösségi média, e-kereskedelmi oldalak, levelezőszolgáltatók.
  • Megbízhatatlan kapcsolatok: Mivel a titkos kulcsok kiszivároghattak, az adott szerverhez tartozó TLS kapcsolatok hitelessége is kérdésessé vált.
  • Védekezés nehézsége: Még ha egy szerver frissítette is OpenSSL-jét, a korábban kiszivárgott kulcsok miatt az adatvédelem nem volt garantált, ezért szükség volt kulcsok újragenerálására és tanúsítványok cseréjére.


Érintett verziók és terjedés

A hiba az OpenSSL 1.0.1-től 1.0.1f-ig terjedő verzióiban volt jelen (2012. márciusától 2014. áprilisáig), beleértve a 1.0.1 és 1.0.1a–e verziókat is.

Az OpenSSL 1.0.1g verziója már javította a hibát, amely 2014. április 7-én jelent meg. A világ internetes szervereinek nagy része azonban érintett volt.


Felfedezés és nyilvánosságra hozatal

A hibát a finn Codenomicon biztonsági cég és a Google biztonsági kutatója, Neel Mehta fedezte fel. 2014 áprilisában a hiba nyilvánosságra került, és a biztonsági közösség azonnal reagált a javításokkal.

Az incidens óriási médiafigyelmet kapott, és sok szervezet számára tanulságos volt az internetes biztonság fontossága.


Védelmi és javítási lépések

A Heartbleed javítása és kezelése több lépcsőben történt:

  1. Frissítés: Az OpenSSL verziók frissítése a 1.0.1g vagy újabb verzióra, amely már nem tartalmazza a hibát.
  2. Kulcscsere: A kiszivárgott privát kulcsokat és tanúsítványokat le kellett cserélni.
  3. Jelszavak megváltoztatása: Felhasználói jelszavak és egyéb hitelesítő adatok módosítása.
  4. Biztonsági auditok: Számos szolgáltatás átvizsgálta és megerősítette biztonsági állapotát.


Tanulságok és hatás a biztonsági iparra

  • A Heartbleed rámutatott arra, hogy még a széles körben használt és megbízhatónak hitt nyílt forráskódú projekteknél is előfordulhatnak súlyos hibák.
  • Növelte az érdeklődést a kódellenőrzések, automatizált tesztelések és formális verifikációk iránt.
  • Felgyorsította a biztonsági frissítések fontosságának megértését a szervezeteknél és felhasználóknál.
  • Elindított egy mozgalmat az erősebb titkosítás és biztonsági szabványok bevezetésére.


Összefoglalás

A Heartbleed egy kritikus biztonsági sérülékenység volt az OpenSSL-ben, amely több millió weboldal és szerver biztonságát veszélyeztette. A hiba a TLS heartbeat kiterjesztésének hibás implementációjából fakadt, amely révén támadók érzékeny memóriatartalmakhoz férhettek hozzá.

A hiba felfedezése és nyilvánosságra hozatala óta a biztonsági ipar jelentősen fejlődött, a fejlesztők és rendszergazdák pedig nagyobb figyelmet fordítanak az időben történő javításokra és megelőző biztonsági intézkedésekre.



További információk

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=Heartbleed&oldid=3496938