it-swarm.com.de

Wie kann man Heartbleed ohne Fachbegriffe erklären?

Die meisten meiner Freunde, die keine Erfahrung mit Computern haben, möchten wissen, was Heartbleed ist und wie es funktioniert. Wie würde man Heartbleed jemandem ohne technischen Hintergrund erklären?

256
user36976

Die Analogie von Bank und Bankangestellter

Sie rufen die Bank an, um ein neues Bankkonto anzufordern und einen Termin zu vereinbaren - was auch immer. Irgendwie stellen Sie und die Bank sicher, dass Sie der sind, der Sie sind, und die Bank ist tatsächlich die Bank. Dies ist der TLS-Prozess, der die Verbindung zwischen Ihnen und der Bank sicherstellt, und wir gehen davon aus, dass dies ordnungsgemäß gehandhabt wird.

Die Rollen in diesem Spiel

  • Die Bank: ein Webserver
  • Der Bankangestellte: der OpenSSL-Dienst für diesen Server
  • Sie (der Bankräuber): Ein Bot, der alles abruft, was er von diesem Server bekommen kann

In Verbindung bleiben - der Herzschlag

Ein Bankangestellter beantwortet Ihren Anruf. Sie fordern einige Informationen an. Der Mitarbeiter sagt, er soll eine Minute warten und deaktiviert sein Mikrofon. Er kann dich hören, du kannst ihn nicht hören. Dann ist es ruhig. Für eine lange Zeit. Sie fragen sich, ob er aufgelegt hat. Also sagst du "Hallo?" Der Mitarbeiter wird angewiesen, alles zu wiederholen, was Sie sagen, und antwortet mit "Hallo". Dies ist der Herzschlag, um zu überprüfen, ob noch eine Verbindung besteht.

Bei diesem eigenartigen Bankangestellten müssen Sie zuerst sagen, wie viele Wörter Sie verwenden werden, bevor Sie fragen, ob der Mitarbeiter noch online ist. Anstatt "Hallo" zu sagen, müssen Sie "Eins: Hallo" oder "Zwei: Hallo" sagen. Der Mitarbeiter weiß jetzt, dass er mit der Wiederholung dieser (ersten) beiden Wörter antworten und dann weiter an Ihrer Anfrage arbeiten kann. Dies ist das Heartbeat-Protokoll.

Das Problem - das Herzblut - keine Überprüfung, was zurückgegeben wird

OK, du bist gelangweilt und machst einen Witz. Sie sagen "Tausend: Hallo". Der Mitarbeiter überprüft nicht, ob Sie nur ein Wort gesagt haben (Hallo), und beginnt mit "Hallo" plus den nächsten 999 Wörtern zu antworten, die er sagt oder über die er nachdenkt oder die er im Gedächtnis hat, bevor er das Mikrofon ausschaltet. Dies ist der Fehler, der das Problem verursacht.

Diese 999 Wörter haben nichts miteinander zu tun. Das meiste davon wird nutzlos sein, Bemerkungen zum Wetter, Anfragen nach Kaffee, Termine zum Mittagessen usw. Einige davon können wichtige Informationen über die Bank oder andere Kunden sein. Bei einem Goldtransport bringt ein Kunde 1 Mio. USD, den Code für die Eingabe der Bank oder des Safes usw. ein.

Es wird nicht überprüft, ob tatsächlich 1000 Wörter beantwortet werden müssen. Außerdem können Sie diese Anfrage immer wieder stellen - der Mitarbeiter wird sich nicht beschweren und niemand wird bemerken, was los ist.

Es gibt eine Grenze. Sie erhalten nur Informationen von diesem einen Bankangestellten und nur die Dinge, über die er spricht oder nachdenkt. Andere Mitarbeiter sind nicht betroffen. Sie können nicht sehen, was auf seinem Schreibtisch oder in seinem Rolodex ist. (Analogie: Nur Daten im Speicher (RAM) sind gefährdet. Daten auf der Festplatte, die nicht in den Speicher eingelesen werden, und Daten aus anderen Programmen und Prozessen sind sicher.)

Wenn Sie dies tun, wissen Sie nicht, welche Informationen Sie erhalten, aber wenn Sie dies lange Zeit immer und immer wieder tun, erhalten Sie genug Informationen, um endlich einbrechen zu können, ohne dass es jemand merkt. Sie können die Bank nach Stunden betreten, den Safe öffnen usw. Dies ist das Risiko.

Die Lösung - Anfrage prüfen und Codes erneuern

Wenn der Mitarbeiter einen Moment nachdenken würde, würde er nur mit einem Wort antworten und dann das Mikrofon deaktivieren, damit Sie nicht mehr hören können, worüber er spricht. Wenn Sie diese Überprüfung durchführen, bleiben Sie in Verbindung und wissen, dass der Mitarbeiter nicht aufgelegt hat, aber keine zufälligen Informationen mehr hört. Tatsächlich benötigt der Mitarbeiter neue Anweisungen zum Echo. Dies wird mit dem Update auf die neueste Version von OpenSSL behoben.

Die Bank muss die Sicherheitsschlüssel für den Zugang zur Bank und zum Safe erneuern, da nicht bekannt ist, ob jemand die alten Codes hat.

163
SPRBRN

Wie wäre es mit dieser von XKCD ?

(XKCD comics #1354 by Randall Munroe. Licenced CC BY-NC 2.5

Die "nicht-technischste" Erklärung, die ich gefunden habe.

342
Uwe Keim

Ich werde einige technische Begriffe verwenden müssen, aber ich werde versuchen, sie auf ein Minimum zu beschränken und sie zu beschreiben.

Grundlegende Einführung in TLS & Verschlüsselung

Sie (ein Client) besuchen eine Website (als Server bezeichnet), die Verschlüsselung verwendet (die Adresse beginnt mit https://), Damit niemand außer Ihnen und der Website am anderen Ende den Inhalt von kennen kann die Nachrichten, die Sie senden oder empfangen. Wenn Ihre Nachrichten über Computer im Internet transportiert werden, werden sie verschlüsselt. Sie werden als TLS (Transport Layer Security) bezeichnet und sind eine Art verschlüsseltes Protokoll. Eine Bibliothek, die TLS implementiert, ist OpenSSL (TLS ist der neuere Name für SSL, aber beide haben die gleiche Absicht - den Netzwerkverkehr im Internet zu verschlüsseln).

Was ist Heartbeat - die kompromittierte TLS-Funktion?

Um eine TLS-Verbindung einzurichten, ist eine Verhandlung relativ teuer (es braucht Zeit). Es müssen mehrere Nachrichten zwischen Client und Server ausgetauscht werden, bevor sie sich gegenseitig vertrauen und verschlüsselte Daten sicher hin und her senden können. Um eine schnelle und reaktionsschnelle Erfahrung zu erzielen (und die Serverlast zu minimieren), möchten Sie diese Aushandlung möglichst selten durchführen, anstatt sie vor jeder einzelnen Anforderung durchzuführen (da Sie mit modernen interaktiven Websites häufig Hunderte von Anforderungen innerhalb von Minuten ausführen). Erschwerend kommt hinzu, dass Pakete im Internet häufig verloren gehen oder beschädigt werden. Der Server ist möglicherweise mit zu vielen Anforderungen überfordert und muss die TLS-Verbindung beenden. Oder der Client hat möglicherweise sein Browserfenster geschlossen, sodass der Server das Ende der verschlüsselten Verbindung nicht mehr speichern muss.

Daher wurde 2012 in OpenSSL ein Vorschlag implementiert (Heartbeats genannt), "Keep-Alive" -Nachrichten zwischen Client und Server zu senden, um die Anzahl der Verhandlungen zu verringern, wenn beide Enden die Verbindung noch verwenden. Der Client fragt den Webserver regelmäßig: "Sind Sie noch da?" und der Webserver (falls noch vorhanden) antwortet, ob er noch vorhanden ist oder ob zukünftige Anforderungen eine neue TLS-Aushandlung erfordern.

Wie die Heartbeat Extension funktioniert

Der Client sendet eine Heartbeat-Nachricht, die aus einer vom Client ausgewählten Nutzlast sowie einem kurzen Header mit der Größe der Nutzlast besteht. Sie können beispielsweise eine Heartbeat-Anfrage mit der Größe 18 Und dem Text This is my payload Senden (obwohl es sich im Allgemeinen um zufällig ausgewählte Daten handelt). Der Webserver erhält diese Anforderung, speichert den Inhalt der Nutzdaten im Speicher des Webservers sowie die Größe der Nutzdaten 18, Die der Client ihm mitgeteilt hat.

Wenn der Server dann eine "Keep-Alive" -Antwort an den Client zurücksendet, liest die Bibliothek die nächsten 18 - Zeichen des Speichers ab dem Speicherort der Nutzdaten und sendet sie an den Client zurück (der dies überprüft) erhielt die richtigen Daten zurück) und dann wird die Verbindung am Leben gehalten.

Der Heartbleed-Fehler in OpenSSL

Der schwerwiegende Fehler (der als Heartbleed bezeichnet wurde) besteht darin, dass die OpenSSL-Bibliothek nie überprüft hat, ob die Heartbeat-Nutzlastgröße der tatsächlichen Länge der gesendeten Nutzlast entspricht . . Ein Benutzer kann unabhängig von der tatsächlichen Größe der Nutzlast eine beliebige Zahl bis zu 65535 (64 Kilobyte) eingeben. Wenn ein Angreifer eine Heartbeat-Anfrage sendet, die besagt, dass die Größe 65535 Ist, eine Nutzlast jedoch nur 18 Byte lang ist, speichert der anfällige Server nur 18 Byte im Speicher. Die Antwort beginnt jedoch mit den gespeicherten 18 Bytes, sendet jedoch weiterhin Daten von den nächsten 64 KB Speicher zurück an den Client. Diese Daten können Benutzernamen und Passwörter, private Schlüssel, Benutzernamen, HTML-Seiten, zufälliger Müll oder sogar das private Geheimnis sein, das der Webserver verwendet, um seine Identität festzustellen. (Der in 1.0.1g und späteren Versionen implementierte Fix für OpenSSL besteht im Wesentlichen darin, die vom Client angegebenen Sicherheitsüberprüfungen der Nutzlastgröße durchzuführen.).

Der Angriff kann viele Male wiederholt werden und zeigt im Allgemeinen jedes Mal verschiedene Teile des Webserver-Speichers an. Der Angriff kann für typische Webserverkonfigurationen anonym und nicht nachweisbar ausgeführt werden. Normalerweise protokollieren Sie IP-Adressen nur, wenn Sie eine Webseite bereitstellen. Dieser Angriff kann jedoch in anfälligen Versionen zu Beginn des Verhandlungsprozesses auftreten, bevor eine Webseite bereitgestellt wird.

Angriff auf Clients

Es gibt auch eine umgekehrte Version davon, bei der ein Benutzer, der eine Verbindung zu einem böswilligen TLS-Server herstellt, der Keep-Alive-Anforderung vertraut, die von einem böswilligen Server gesendet wurde, auf dem der Server über die Größe seiner Keep-Alive-Nutzdaten gelogen hat. Dies würde dazu führen, dass der Webbrowser bis zu 64 KB an Informationen an den Webserver weiterleitet. (Zugegeben, es wäre viel schwieriger, nutzbare Informationen daraus zu erhalten, und dies kann nicht anonym erfolgen. Sie muss vom Kunden initiiert werden, der diese Webseite aufruft. Es ist jedoch immer noch sinnvoll, OpenSSL schnell zu patchen, wenn Sie mit einem im Internet surfen betroffene Version.)

Abhilfe

Das Mittel für Clients und Server, die OpenSSL verwenden, besteht darin, es zu aktualisieren. Systemadministratoren, die Webserver ausführen, die die anfällige OpenSSL-Bibliothek verwendet haben, müssen ihre geheimen TLS-Schlüssel widerrufen und neue generieren (sowie langlebige Sitzungstoken ungültig machen). Kunden sollten ihre Passwörter auf betroffenen Websites ändern, die möglicherweise durchgesickert sind. Für Clients hat lastpass ein Heartbleed Checker Tool veröffentlicht, das testet, ob eine Site (1) derzeit anfällig ist, (2) zuvor als anfällig getestet wurde oder (3) wahrscheinlich anfällig ist (mithilfe eines Unix/Linux-Webservers und TLS, was wahrscheinlich auf die Verwendung von OpenSSL hinweist (das hauptsächlich auf Unix-/Linux-Systemen verwendet wird), um festzustellen, ob Sie Ihr Kennwort auf einer bestimmten Website aktualisieren müssen.

SSH ist kein TLS, daher sind SSH-Schlüssel sicher

SSH (steht für Secure Shell) ist ein gängiges Tool auf Unix- und Linux-Computern, mit dem Benutzer sich remote bei einem Computer anmelden und Befehle ausgeben können, die verschlüsselt über das Netzwerk transportiert werden. SSH ist ein völlig anderes Protokoll als TLS (die Antwort lautet SSL, aber das ist nur der alte Name für TLS - die Begriffe werden häufig synonym verwendet) . Obwohl OpenSSH (die häufigste Implementierung von SSH) und OpenSSL ähnliche Namen haben, sind Ihre SSH-Schlüssel aufgrund des Heartbleed-Angriffs nicht anfällig.

Durch den Heartbleed-Angriff kann nur Speicher aus dem Prozess verloren gehen, der die TLS-Verschlüsselung durchführt. (Ein Prozess ist der Computerbegriff für eine laufende Instanz einer Anwendung.) Moderne Betriebssysteme implementieren Prozessisolation , die verhindern, dass Prozesse Speicher lesen oder schreiben, der anderen Prozessen auf demselben System zugewiesen ist. Im Gegensatz zu xkcd.com/135 müssen Sie sich also keine Sorgen machen, dass der gesamte Speicher Ihres Computers kompromittiert wird, sondern nur der Speicher des Webserver-Prozesses (oder der Webbrowser für die umgekehrte Form). Geheimnisse wie SSH-Schlüssel, die von anderen Prozessen (ssh, sshd, ssh-agent) verwendet werden, werden nicht durchgesickert, da Sie auch TLS in einem Webserver verwendet haben.

Der Vollständigkeit halber sollte ich erwähnen, dass diese Sicherheitsanfälligkeit alles betreffen sollte, was die OpenSSL-Bibliothek zum Ausführen von TLS verwendet, was nicht auf Webserver beschränkt ist. B. FTPS-Server (aber nicht SFTP), E-Mail-Server und Datenbankserver können je nach Konfiguration alle anfällig sein.

Weitere Informationen zum anfälligen Commit

Es ist auch erwähnenswert, dass dieselbe Person, die den anfälligen Code geschrieben hat, der die Größe der Nutzdaten nicht überprüft, derselbe Autor der Heartbeat-Erweiterung für TLS war (beschrieben in RFC 652 ). Beachten Sie, dass das Protokoll keine maximale Größe der Heartbeats-Antwort angegeben hat (während eine minimale Größe angegeben wurde), sondern eine beliebige Länge zugelassen hat und die Nutzlastgröße durch einen Zwei-Byte-Header beschrieben werden kann (sodass nur 65535 verwendet werden können) 255 mit einem 1-Byte-Header, der nur unter 255 Bytes des RAM des Webserver-Prozesses verfügbar gemacht hätte). Ich kann mir ehrlich gesagt keinen vernünftigen Grund vorstellen, eine Heartbeat-Nutzlast zu benötigen, die länger als 16 Bytes (128 Bit) ist, und wenn Sie superparanoid sein möchten, können Sie 32 Bytes (256 Bit) zulassen. Mit diesen Einschränkungen ist es sehr unwahrscheinlich, dass viele nutzbare Informationen verloren gehen.

Es ist auch merkwürdig, dass der anfällige Code auf den Abend des Silvesterabends 2011 datiert ist, was eine wahrscheinliche Zeit zu sein scheint, um etwas unter dem Radar oder mit weniger Kontrolle aufgrund des Feiertags zu passieren.

161
dr jimbob

Im Klartext: Der Angreifer sagt, dass er ein Paket der Größe "x" sendet, und fordert den Server auf, es zurückzusenden, sendet jedoch tatsächlich ein viel kleineres Paket. Die OpenSSL-Bibliothek vertraut dem Angreifer, sendet das kleine echte Paket als Start der Antwort zurück und holt dann Daten aus dem Speicher, um die Antwort auf die erwartete Größe auszufüllen. Dies können alle Daten sein, die der Server kürzlich verarbeitet hat und die häufig vertrauliche Informationen enthalten.

43
Mark

Dieser Beispieldialog - vielleicht sind Sie beide Charaktere oder Sie bringen sie dazu, die Fragen an Sie zu stellen:

Q1: Was ist deine Lieblingsfarbe (1 Wort)
A1: Blau

F2: Wo bist du zuletzt in den Urlaub gefahren (2 Wörter)
A2: Nach Frankreich

F3: Welches Auto fahren Sie (1000 Wörter)
A3: Vauxhall Astra. Cheeseburger. Morgen fahre ich nach London. Ich mag Kuchen. Ohhh ein Eichhörnchen. Mein PIN ist 1234. Ich mag Hühner. SPAAAACEEEE. Letzte Nacht habe ich Spaghetti gegessen. BUD WEIS EEEEERRRR. Etc etc etc etc.

Das letzte Stück ist hauptsächlich Müll, aber es könnten ein paar gute Dinge drin sein.

22
Rich Bradshaw

Hier ist ein Versuch, fast keinen Jargon zu verwenden.

Wenn Sie eine Verbindung zu einer "sicheren" Website herstellen (eine mit einem grünen Balken und einem Vorhängeschlosssymbol), führen Ihr Browser und die Website ein wenig mathematischen Hokuspokus aus, und Sie erhalten beide einen geheimen Schlüssel - wie ein sehr langes, zufälliges Passwort - mit denen Sie sich gegenseitig verschlüsselte Nachrichten senden können.

Wenn Sie auf der Website stöbern und auf Links klicken, ist es sehr teuer, den gesamten Hokuspokus jedes Mal zu wiederholen, sodass die Website und der Browser nur eine Weile dieselbe Taste verwenden. Da die Website nicht eine Liste aller Schlüssel führen möchte, die jeder einzelne Besucher jemals verwendet hat, wurde ein Protokoll namens Heartbeat erfunden. Solange Sie noch stöbern, sendet Ihr Browser der Website von Zeit zu Zeit eine Nachricht mit der Aufschrift HEARTBEAT, was bedeutet: "Ich bin immer noch hier, halten Sie meinen Schlüssel fest." Die Website antwortet etwas auf den Effekt von "Roger That". Wenn die Website für eine Weile keine HEARTBEATs von Ihnen hört, wird davon ausgegangen, dass Sie zu einer anderen Website gegangen sind, und Ihr Schlüssel wird weggeworfen, um Platz für neue zu schaffen.

Tatsächlich machen Herzschläge noch eine Sache. Sie können einen beliebigen Text zusammen mit diesen senden, und die Website antwortet mit genau demselben Text. Warum es so gemacht wird, ist mir nicht ganz klar, ich nehme an, es ist so, dass Ihr Browser überprüfen kann, ob etwas Lustiges vor sich geht (wie der falsche Text, der zurückkommt, oder Texte, die in der falschen Reihenfolge zurückkommen) und Sie wissen lassen, dass es jemand kann etwas Böses tun.

Ihr Browser sendet also ab und zu eine Nachricht wie "HEARTBEAT, Text mit 5 Buchstaben, HALLO" und die Website antwortet "roger that, 5 Buchstaben, HALLO". Der Text kann so ziemlich alles sein, wie das aktuelle Datum und die aktuelle Uhrzeit. Sie könnten ein Gedicht senden, wenn Sie möchten.

Der Herzblut-Fehler ist, dass wenn Sie eine Nachricht wie "HEARTBEAT, 1000 Buchstaben, KÄSE" senden, wenn die Website ein Programm namens OpenSSL verwendet, um die Verschlüsselung durchzuführen, es schlecht läuft. Und OpenSSL ist das am häufigsten verwendete Programm zur Verschlüsselung im Internet. Was es tun sollte, ist zu beachten, dass KÄSE 6 Buchstaben hat, nicht 1000, und sich zu beschweren. Stattdessen liest es Ihre Nachricht und schreibt sie an eine Stelle in seinem Speicher. Dann antwortet es "Roger That, 1000 Buchstaben, ..." und beginnt, die nächsten 1000 Buchstaben aus seinem Speicher auszulesen, beginnend an der Stelle, an der es Ihren KÄSE gespeichert hat. Sie können also hören, was auch immer die nächsten 994 Buchstaben in seinem Speicher sind, und dies könnte buchstäblich alles sein. Es könnten die geheimen Schlüssel der Website sein. Es könnte ein Gedicht sein. Dies können Passwörter und Kreditkartendaten anderer Kunden sein. Es könnte ein Bild einer Katze sein. Es ist völlig zufällig, aber jedes Mal, wenn Sie eine HEARTBEAT-Nachricht wie diese senden, sehen Sie einen anderen zufälligen Teil des Speichers der Website. Wenn Sie also Ihre HEARTBEATs nur oft genug wiederholen, werden Sie wahrscheinlich früher oder später auf etwas Interessantes stoßen.

Das Schlimmste, was passieren kann, ist, dass Sie die Hauptschlüssel der Website zurückerhalten, die verwendet werden, um den Hokuspokus zu starten, wenn ein neuer Besucher auf die Website kommt. Wenn Sie dies tun, können Sie theoretisch alles lesen, was jeder auf der Site tut, als ob es überhaupt keine Verschlüsselung gäbe. Immer wenn sich jemand anmeldet, wird das Passwort im Klartext angezeigt. Das ist keine schöne Sache.

11
Bristol

Ich werde verwenden einerzwei Drei Fachbegriffe: "Herzschlag", "Fehler" und "Webserver". Ich hoffe, das wird Ihre nicht-technischen Freunde nicht abschrecken.

Wenn Computer Daten über das Internet austauschen, ist es manchmal hilfreich zu wissen, ob der andere noch zuhört. An vielen Orten gibt es Bestimmungen, die dem Äquivalent entsprechen: "Hey, hörst du zu? Kannst du mir sagen, was ich gerade gesagt habe?" In verschiedenen Kontexten gibt es viele verschiedene Namen für solche Techniken, die manchmal sogar in Mainstream-Medien auftauchen - "Echo" ist eine, "Ping" eine andere und diejenige, die einen schwerwiegenden Fehler in einer sehr weit verbreiteten Software aufweist ist "Herzschlag". Dieses spezielle "Herzschlag" -Schema wird in vielen Anwendungen nicht verwendet, aber da die allgemeine Idee so nützlich sein kann, erlauben es viele Computer.

Das Problem ist, dass eine Software, die die meisten Webserver verwenden, einen Fehler aufweist: Abhängig davon, wie das "Was habe ich Ihnen gerade gesagt?" wird gefragt, ob man versuchen kann, mehr zu wiederholen, als die andere Seite tatsächlich gesendet hat, und den Rest mit zufälligen Dingen ausfüllt, die der Webserver zufällig weiß. Wenn man auf solch knifflige Weise fragt, kann man Webserver mit diesem Fehler dazu bringen, fast alles zu erzählen, was sie wissen, einschließlich Benutzerkennwörtern und (von Webservern, die mit solchen Informationen umgehen) sensible Daten wie Kreditkartennummern, E-Mail-Inhalte usw. Und das tut es nicht Hören Sie hier nicht auf, selbst die Geheimnisse, mit denen andere Computer diese Webserver verkörpern könnten, sind gefährdet.

Dies ist nicht auf Webserver beschränkt, aber hier kommt jeder, der das Internet nutzt, damit in Kontakt. Aber die Leute im Bereich Computersicherheit haben jetzt alle Hände voll zu tun mit vielen Computern und vielen verschiedenen Softwareprogrammen, die möglicherweise betroffen sind.

4
pyramids

Wenn Sie eine Webseite besuchen, die "https" verwendet, wird die Verbindung zwischen Ihnen und dem Webserver verschlüsselt. Diese Schutzschicht wird als SSL oder TLS bezeichnet. Eine zugrunde liegende Komponente dieser Implementierung weist ein Sicherheitsproblem auf, das dazu führt, dass der Server, der eine Webseite bedient, "Daten verliert" (d. H. Speicherinhalte an einen Angreifer weitergibt). Es gibt einige Einschränkungen hinsichtlich des Verlusts dieser Daten, diese sind jedoch sehr schwerwiegend und können alle Arten von Daten auf dem anfälligen Server verfügbar machen.

Hier ist ein technisches Video, das ein Beispiel für einen Datenverlust von einem anfälligen Server zeigt und zeigt, wie verhindert werden kann, dass Daten verloren gehen: https://www.youtube.com/watch?v=UjkK22VBzjA

3
user44002

Neue Analogie:

Stellen Sie sich vor, Sie rufen die Bank an und fragen, ob eines ihrer Büros geöffnet ist. Sie haben eine Maschine in der Leitung (die berüchtigte "für Englisch, drücken Sie 1" Dame) und Sie werden gefragt, für wie viele Banken Sie die Stunden wissen möchten und für welche Banken. Sie sagen dann, Sie möchten die Stunden für 65.000 Banken, geben aber nur den Code für eine einzelne Bank an. Die Maschine glaubt, dass sie die Stunden für 65.000 Banken angeben muss, aber da Sie nur 1 Bankleitzahl angeben, füllt sie den Rest mit allem, was sie finden kann: Kontoauszüge von zufälligen Konten, Kreditkartennummern und -codes, ein Bild des Schlüssels Für den Safe die Diskussion, die der Manager zu der Zeit mit seinem Arzt führt, ... Es ist nicht klar, dass andere Daten irrelevant sind und dass Sie nur Öffnungszeiten für 1 Bank haben sollten.


Alte Antwort:

Stellen Sie sich vor, Ihre Bank verfügt über ein System, mit dem Sie eine sichere Anfrage für den aktuellen PIN-Code Ihrer Debitkarte senden können, und das System gibt einen PIN-Code und eine Bankkartennummer zurück. Dieses System erhält ein Update, bei dem Sie eine Liste der zurückzusetzenden Karten senden können.

Sie senden eine Anfrage für eine Liste mit 65.535 Debitkarten zum Zurücksetzen, übergeben jedoch nur 1 Kartennummer. Anstatt nur diese einzelne Karte zurückzugeben oder einen Fehler auszulösen, sendet Ihre Bank die vorhandenen Codes für 65.534 andere Karten von anderen zufälligen Benutzern zurück.

3
Nzall

Stellen Sie sich ein Buch vor, das Sie nie gelesen haben, und dann kennen Sie den Inhalt nicht, weil das Buch geschlossen ist. Der Heartbleed-Bug ist nur eine Möglichkeit, eine Seite zufällig zu öffnen und den Text aus dem Buch lesen zu können. Nachdem Sie genügend Informationen extrahiert haben, können Sie das Buch replizieren und in einem Tierheim ersetzen, ohne dass es jemand bemerkt. Das Buch ist entweder Ihr Computer oder Ihr Server.

Das wäre die einfachste Erklärung, die ich nicht technischen Personen geben würde.




2
Kiwy

Es ist so.

Sie gehen die Straße entlang und begegnen beim Eingang einer Bank einem autistischen Gelehrten auf dem Weg nach draußen. Er scheint ein netter Kerl zu sein, aber Sie sind es nicht, und Sie wissen, dass Sie ihn für schändliche Zwecke verwenden können, weil Sie genug Filme gesehen haben, um zu erfahren, dass Savants erstaunliche Datenmengen behalten und wiederholen können und im Allgemeinen ziemlich aufmerksam sind. zu.

Also fragst du ihn nach der Zeit. Er sagt dir die Zeit, kann aber nicht anders, als weiter zu reden. Er sagt Ihnen jede Bankkontonummer und jedes Passwort, die ihm während seines Aufenthalts an Augen und Ohren vorbeigegangen sind.

Diese Informationen gehören jetzt Ihnen. Alles, was Sie tun mussten, war nach der Zeit zu fragen, weil der Gelehrte aufgrund seines Zustands nicht in der Lage war, sich davon abzuhalten, es Ihnen zu sagen mehr als er sollte. Was er nicht merkt, ist, dass Sie, indem Sie nach der Zeit mit Ihren schändlichen Absichten fragten, da Sie wussten, was wahrscheinlich passieren würde, nach mehr fragten, als Sie sollten auch.

Armer Kerl.