Blogerator.org

× Версия для печати

У меня короткий литдыбрно-графический пост сегодня. Ниже под катом подробное объяснение устройства нашумевшей уязвимости Heartbleed OpenSSL для гуманитариев, которая приведена в новом выпуске гикового комикса xkcd.

Также даю всем страждущим простой удаленный веб-сервис для теста любого сайта на эту уязвимость (лучше провериться самим, чтобы вас не «проверили» на этот баг другие).

Как проверить на Heartbleed?

Вот по этой ссылке (аналогичный веб-сервис, а также вариант этой атаки — «Обратный Heartbleed») можно провести удаленный тест любого хоста и проверить эту ошибку, если она ещё там активна. Напомню, что проверить можно вообще любой сайт, который поддерживает работу с ним по протоколу https. В случае отсутствия оного будет неопределенный результат, например, как у моего блога:

На самом деле, сейчас в сети уже есть фейковые уязвимости (т.н. «honeyspot») косящие под Heartbleed, которые на самом деле эмулируют её, возвращая, например, подобную выдачу:

Это обратная сторона популярности: одни хакеры прикалываются над другими хакерами. «Никогда не знаешь до конца, что перед тобой — реальность или иллюзия, — поэтому нужно просто верить» © Морфеус.

Суть случившегося

И, наконец, обещанная простая суть уязвимости Heartbleed в виде комикса для гуманитариев и начинающих программистов-любителей. А природа этой атаки, в общем-то, самая простая: переполнение буферов и отсутствие самого банального контроля над длиной передаваемых строк.

В нагрузочку вот вам ссылочка на недавнее интервью немецкого программиста Робина Зеггельмана (Robin Seggelmann), который и добавил в пакет OpenSSL эту критическую уязвимость год назад.

Краткая выжимка из его словоблудия для занятых: «Так получилось. Я ничего не замышлял. Я извиняюсь».