В 2014 выяснилось, что “замочек” в браузере — не гарантия, если внизу стека треснул фундамент. Heartbleed оказался не взломом TLS как идеи, а банальной ошибкой проверки длины в OpenSSL: через безобидный Heartbeat сервер можно было заставить вернуть до 64 КБ своей памяти за запрос. В этих кусках иногда оказывались сессии, пароли, токены — а в худшем сценарии и ключи, из-за чего одной установкой патча дело не заканчивалось: приходилось перевыпускать сертификаты и обновлять приватные ключи.

В выпуске разбираем, зачем вообще был нужен Heartbeat, как именно безобидное утилитарное расширение превратилось в утечку и почему проблема стала глобальной.

Credits

Отбивка: AUDIOREZOUT 

Музыка: “Envision” — Kevin MacLeod (incompetech.com).
Лицензия: Creative Commons Attribution 4.0 (CC BY 4.0) — https://creativecommons.org/licenses/by/4.0/

Источники:

https://globalnews.ca/news/1269168/900-sin-numbers-stolen-due-to-heartbleed-bug-canada-revenue-agency/

https://www.heartbleed.com/

https://www.timeshighereducation.com/news/heartbleed-bug-could-leave-campus-computers-open-to-attack/2012738.article

https://openssl-library.org/news/secadv/20140407.txt 

https://www.cve.org/CVERecord?id=CVE-2014-0160