Cum zilele acestea s-a tot discutat despre CVE-2014-0160, vulnerabilitatea cunoscută sub denumirea de “Heartbleed”, am considerat că este necesar să tratez şi eu pe scurt subiectul pentru cei interesaţi de el, însă care nu au timp suficient să se documenteze.
În primul rând, hai să vedem ce este Heartbleed:
Heartbleed este o vulnerabilitate într-un soft open-source (OpenSSL), program care se ocupă cu implementarea funcţiilor criptografice în cadrul aplicaţiilor, cum ar fi serverele web securizate.
Fiind vorba de un proiect open-source, oricine poate contribui. Printre cei care s-au implicat a fost şi neamţul Robin Seggelmann, adică autorul fără voie al greşelii de programare.
Vulnerabilitatea a fost descoperită de către un inginer Google, împreună cu o firmă finlandeză din domeniul securităţii IT, denumită Codenomicon şi a fost făcută publică zilele trecute, însă ea există de aproximativ doi ani de zile.
Atunci când este exploatată, această gaură de securitate duce la compromiterea unor informaţii sensibile, stocate în memoria serverelor, cum ar fi numele de utilizator şi parola.
Conform datelor Netcraft, în acest moment ar fi vorba de aproximativ 500.000 de site-uri vulnerabile.
Cum funcţionează Heartbleed, puteţi vedea cel mai bine în desenul de mai jos, preluat de pe site-ul xkcd.com.