일반적으로 저는 소프트웨어 보안에 대해 매우 회의적입니다. 관련 소프트웨어 산업의 주요 목적 중 하나는 사람들이 보안 제품을 구매하도록 겁을 주어 그들이 안전하다고 느낄 수 있도록 하는 것입니다. 이에 대한 가장 좋은 예는 Windows XP가 소멸되기 전의 Windows 맬웨어 상황에 대한 상충되는 견해일 것입니다. Microsoft의 한 보고서는 최신 버전의 운영 체제가 더 안전한 방법을 보여주고 다른 하나는 정확한 오류를 주장하는 맬웨어 방지 회사의 보고서입니다. 반대. 이것은 최신 openSSL 문제의 주제에 내 악취를 풍기는 눈을 가져옵니다.
여러 사용자, 즉 둘 이상의 사용자가 제 멋진 접근 방식을 고려하여 이에 대해 자세히 설명해 달라고 요청했습니다. 실제로 이것은 Windows가 아니라 Linux입니다. 이것은 웹입니다. 이것은 완전히 다른 것입니다. 이것은 흥미로울 것입니다.
요약하자면 하트블리드
기본적으로 Heartbleed는 OpenSSL Heartbeat 확장의 버그로, Heartbeat 요청자가 대상 시스템의 OpenSSL 라이브러리 메모리에서 임의의 페이로드를 수신할 수 있도록 합니다. 즉, 폴링된 호스트는 TLS 프로토콜 통신에 필요한 데이터만 반환하는 것이 아니라 그 이상을 반환합니다. 이것은 효과적으로 요청자에게 전송되지 않는 메모리 페이지에 대한 액세스를 의미합니다.
그리고 그게 다야. 이제 문제는 이것이 대규모 고객 기반을 가진 수많은 웹 호스팅 서비스 및 사이트에 영향을 미친다는 것입니다. 이것은 Heartbleed 문제가 또 다른 버그 이상이 되는 곳입니다.
이것이 나쁜 이유
네, 잘 들었습니다. 이것은 심각한 문제라고 생각합니다. 그러나 대상 사이트에서 어떤 종류의 데이터를 수집할 수 있었는지 때문이 아닙니다. 즉, 기밀 정보를 훔치는 전체 목적은 항상 남을 것입니다. 그것은 요점을 벗어났습니다.
중요한 것은 문제가 발생한 방식입니다. 하트비트 버그는 두 가지 주요 문제로 인해 발생했습니다. 하나는 코드 개발자가 변수를 초기화하거나 경계를 확인하거나 값을 반환하는 것을 잊어버릴 때 잘못된 입력 유효성 검사, 프로그래밍의 신성하지 않은 성배입니다. 큐비클에 있는 사람들을 신뢰할 수 없는 주된 이유. 아아, 그것은 최고에게도 일어납니다. Hello World! 범위를 벗어나면 할 수 있는 일이 거의 없습니다.
두 번째 문제는 openSSL의 개발자가 동적으로 메모리 청크를 잡고 해제하는 데 사용되는 두 가지 루틴인 free 및 malloc의 자체 구현을 사용했다는 것입니다. 이것은 그들이 다른 사람들보다 더 잘 안다고 생각했다는 것을 의미합니다.
예, 문제를 그렇게 세분화하면 짜증이납니다. 체르노빌 사고와 거의 비슷합니다. 하나의 c.l.u.s.t.e.r에 쌓이는 일련의 작은 문제들. 디지털 성교의 꽃다발.
할 수 있는 일 - 올바른 관점
당신이 할 일이 거의 없습니다. 솔직히. 문제는 대부분 서버 측에 있습니다. 사실, 취약한 openSSL 라이브러리를 사용하는 모든 시스템에도 영향을 미칩니다. 하지만 웹에서 정보를 검색하거나 게임 서버에 연결하는 것 외에 기기가 TLS를 사용하여 다른 호스트와 얼마나 자주 직접 통신하는지 스스로에게 물어보세요.
다만 규모가 큰 사이트의 경우 블리딩을 했다고 해도 트래픽 양이 너무 많아서 모든 정보를 처리하는데 상당한 컴퓨팅 파워가 필요하고, 메모리 내용이 너무 희박해서 생성이 안될 수도 있다고 개인적으로 생각합니다. 일관된 견해.
자, 이것은 수학 논문이 아니라 내 직감입니다. 그러므로 당신의 독설과 기타 등등에서 벗어나십시오. 생각해보세요. 예를 들어 구글을 보자. 여기에는 웹 관련 서비스를 제공하는 수만 대의 서버가 있는 거대한 컴퓨팅 팜이 있으며 각 서버는 초당 수백 건의 요청을 처리합니다. 따라서 이러한 리소스를 하트비트로 처리하더라도 모든 데이터를 가져오려면 자체 서버가 필요합니다. 또한 누군가 멋진 SSL 기능을 모두 얻기 위해 열심히 노력하고 있다면 이러한 리소스를 DoS하는 것을 원하지 않을 것입니다. 셋째, 모든 자격 증명이 도난당했더라도 의미 있는 방식으로 스위치 네트워크의 트래픽을 스니핑하는 것은 쉬운 일이 아닙니다.
나는 당신을 진정시키기 위해 이것을 의미하지 않습니다. 요점은 그것이 아니다. 합리적인 방식으로 문제를 조사하기만 하면 됩니다. 예, 이론적으로 그리고 실제로는 특정 SSL 데이터가 유출되었을 수 있습니다. 예방 차원에서 일부 웹사이트에서는 비밀번호를 변경할 것을 권장합니다. 이걸 고려하세요. 나쁜 습관이 아닙니다. 또한 이중 인증 및 사이트마다 다른 비밀번호를 사용하는 것도 좋은 생각입니다.
두려움을 약간 누그러뜨릴 수 있는 한 가지는 기업 세계의 전 세계 설치 기반 대부분이 대부분 영향을 받지 않은 이전 버전의 엔터프라이즈 버전을 실행하고 있다는 것입니다. 이전 CentOS 등이 현대적이지 않고 멋지지 않기 때문에 디스할 수 있지만 이 경우에는 결국 약간의 용도가 있습니다.
최종 사용자로서
이제 좋은 병사가 되고 싶다면 할 수 있는 일이 몇 가지 있습니다. 인기 있는 사이트에서 여전히 잘못된 버전을 사용하고 있는지 확인하세요. 그렇다면 보고하고 에스컬레이션하고 수정을 요청하십시오. 그것은 사용자 측에서 그것에 관한 것입니다.
암호, 예, 앞에서 언급했습니다. 이 미세한 버그는 2년 전인 2012년 초부터 존재했다는 점을 기억하세요. 당신은 그동안 그것을 인식하지 못했고, 이는 아마도 문제가 광범위하고 은밀하게 나타나지 않았다는 것을 의미할 것입니다. 그렇다면 2년 전과 지금 사이에 정보가 유출되었을 수 있습니다. 따라서 사물을 올바른 관점에 두어야 합니다.
자신의 사이트를 운영하는 경우 책임감 있게 시스템을 업데이트하고 영향을 받는 서비스를 중지 및 시작하여 새 라이브러리를 메모리에 로드할 수 있으며 가장 중요한 것은 평범한 컨설턴트 회사에서 개발한 형편없는 응용 프로그램이 없는지 확인하는 것입니다. 정적으로 컴파일된 자체 openSSL을 사용합니다. 즉, 업데이트를 보거나 사용하지 않을 것입니다.
음모
당연히 NSA가 수년 동안 이 버그에 대해 알고 있었다고 주장하는 새롭고 새로운 NSA 감시 음모가 있습니다. Google의 엔지니어와 핀란드(미국이 아닌) 회사인 Codenomicon을 포함한 두 회사가 거의 동시에 버그를 보고했기 때문에 이것이 의심스럽습니다. 이것은 새로운 것이 생겼다는 것을 의미합니다.
따라서 NSA가 걱정된다면 여기에 해결책이 있습니다. 마이클 만을 아시나요? 그는 Miami Vice, check, Heat, check 및 Red Dragon보다 Hannibal Lecter의 훨씬 더 나은 버전인 Manhunter를 포함한 다른 많은 훌륭한 영화를 감독한 친구입니다. 그리고 주제가는 Heartbeat로, Miami Vice의 많은 뛰어난 에피소드 중 하나에도 등장했습니다. 이제 노래를 들어보시면 완벽하게 또렷하게 이해가 되실겁니다.
심장박동, 심장박동, 내 심장 박동을 들어봐, oh-oh
결론
데도이메도가 사람들이 일반적인 협박이 아니라 심각하게 다루어야 할 실질적인 보안 문제가 있다고 말하는 것을 처음으로 듣게 될 것입니다. 예, Heartbleed로 인한 메모리 누수는 일상적인 악성 코드가 아닙니다. 동시에 회사와 서비스 제공업체가 주로 해결해야 하는 문제이기도 합니다. 이 게임에서 당신의 역할은 작습니다. 중요한 것은 침착하고 이성적인 태도를 유지하는 것입니다.
인터넷 백본이 아프면 뒤로 기대어 지켜보십시오. 매일 발생하는 것은 아니며 PC가 위험에 처할 수 있는 평소와는 다른 상쾌한 변화입니다. 이 경우 당신보다 큽니다. 그러니 긴장을 푸세요.
건배.