Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.
vitorc4991434

Falha De Segurança Expôe Logins E Senhas De Site Pornô

net combo

Você definitivamente imediatamente ouviu expor a respeito do Heartbleed, Net tv nethd.com.br a falha de segurança que pode evidenciar numerosas transações criptografadas pra cada hacker que souber usá-la. No entanto como isto realmente dá certo? Na verdade, é muito fácil - e desta forma tão aterrorizante. Em termos gerais, o Heartbleed é uma falha no OpenSSL, um software que permite ao teu pc e a um servidor saberem que são quem dizem que são. Ele deixou grandes sites - como Yahoo, Flickr e Imgur - vulneráveis a furto de fatos por anos, desde 2011. É qualquer coisa bem assustador, e merece um olhar mais ligado.


A graça de um projeto de código aberto como o OpenSSL é que qualquer um pode observar o código; não há como acobertar algo de propósito. Na realidade, você pode observar exatamente onde o Heartbleed nasceu e onde foi consertado, mesmo que não entenda muito de código. Sendo assim, é tão deslumbrante que o Heartbleed passou despercebido por em tal grau tempo. Dois anos se escondendo à visibilidade de todos, sem ser notado até mesmo por programadores experientes. Entretanto, uma vez que você chega à porção que deu falso, o defeito se torna extremamente claro, e terrivelmente acessível. O Heartbleed não é um problema com as tecnologias TLS/SSL que criptografam a internet. Não é nem sequer mesmo um defeito com a forma como o OpenSSL tem êxito na suposição.


É só um defeito no código. No momento em que 2 servidores se preparam pra fazer um aperto de mão criptografado, eles realizam alguma coisa denominado como "heartbeat" (batimento cardíaco) - é nisso que se inspira o nome do bug. Heartbeats são uma forma de 2 computadores que conversam entre si garantirem que o outro ainda está vivo: deste modo, se alguma coisa der incorreto ao longo do procedimento, ele não continua. Eles realizam isto enviando fatos um pro outro, de modo permanente. O comprador (você!) envia o teu heartbeat pro servidor (seu banco, a título de exemplo), e o servidor o entrega de volta.


Assim, se algo der errado no decorrer da transação - tais como, se um computador parar de funcionar - o outro vai saber, porque os batimentos cardíacos saem de sincronia. É um modo descomplicado, repetido milhões de vezes por dia em o mundo todo. No entanto de algum jeito, versões bugadas do OpenSSL conseguiram estragar tudo. Sean Cassidy explica tudo em bastante profundidade no teu blog. O texto vai ficar um tanto técnico, porém calma - tentaremos deixar tudo bem claro. Simplificando, memcpy é um comando que copia fatos, e requer 3 informações para fazer o serviço - são os termos dos parênteses. Essencialmente, o heartbeat envia alguns detalhes pro servidor - teu banco, tais como - e ele precisa devolver pra você exatamente os mesmos detalhes.


Dessa maneira, garante-se que a conexão está segura. Contudo, a cópia de dados é mais complicada do que parece. Quando o heartbeat vai para o servidor de destino - teu banco, como por exemplo - ele não ocupa um espaço de fato vazio de memória. Sempre há algo gravada, que o micro computador necessita reduzir para portanto gravar o heartbeat.


  • Seis- Compare preços com antecedência
  • Reforce a segurança do web site
  • Tela que gira até 180 graus
  • Que produtos e serviços você nunca fornece

Aí está o problema: o comando memcpy podes mentir o tamanho do heartbeat. Ele pode relatar que o arquivo tem 64KB, quando ele na verdade tem 0KB. Desse jeito o servidor, confuso, vai alocar 64KB de memória - onde podes existir dados confidenciais - e enviá-los de volta para você. Para visualizar pouco mais desse conteúdo, você pode acessar o website melhor referenciado nesse tema, nele tenho certeza que encontrará outras referências tão boas quanto estas, veja no link desse website: Net combo nethd.com.br. É portanto que hackers são capazes de comprometer a segurança de web sites usando o Heartbleed.


Responda que vai enviar um heartbeat de 64KB, envie na realidade um arquivo de 0KB, e o servidor devolve 64KB de detalhes - que podem conter senhas ou endereços de e-mail, tendo como exemplo. Repita isso muitas vezes, e você poderá atingir até chaves de criptografia. Em termos mais técnicos: a função memcpy vai construir um espaço de 64KB (payload) no destino (bp), entretanto como ele recebe zero dados, este espaço mantém tudo o que havia nele antes. Quando ele enviar os dados de volta, vai adicionar tudo o que há neste espaço. Com o Heartbleed, é possível solicitar sugestões diversas vezes a um servidor, até que ele envie de volta qualquer coisa bem revelador. Como explica Sean Cassidy, esse código tem duas funções muito claro.


A primeira é checar se o heartbeat tem comprimento zero. A segunda garante que a atividade memcpy não está mentindo o tamanho do payload. Esse tipo de problema é comum, e tem um nome: transbordamento de detalhes, ou estouro de buffer (buffer overflow). Ao publicar código, um dos erros mais comuns é "esquecer de fazer alguma coisa óbvio e checar se os dados inseridos pelo usuário nunca estão errados". Sempre. Só por precaução.


Felizmente, este bug do OpenSSL Net combo nethd.com.br é claro, e a correção é fácil de implementar, mesmo que não conserte o dano já feito. No final, tudo se resume a esse princípio horrível e espantoso da net tv Nethd.com.br computação: o micro computador a toda a hora vai fazer exatamente o que você diz - nada a menos, e nada a mais. Ele é obediente, entretanto não é sempre que é inteligente - desse jeito você (ou o programador) deve ser.

Don't be the product, buy the product!

Schweinderl