“HEARTBEAT” TO “HEARTBLEED”
Bug จากจังหวะหัวใจเข้าสู่ช่องโหว่หัวใจ ของ OpenSSL HeartBleed Bug เป็นปัญหาหรือ bug ที่เกิดขึ้นใน ไลบรารีของ OpenSSL สำหรับใช้ในการเข้ารหัสลับข้อมูลผ่านโพรโทคอล SSL และ TLS ชื่อ HeartBleed Bug นั้นมาจากคำล้อเลียน ส่วนที่ทำหน้าที่ ที่เรียกว่า Heartbeat Extension ของ OpenSSL ซึ่งจะเป็นส่วนของการเชื่อมต่อ TLS/DTLS ที่เอาไว้ตรวจสอบว่า Host ที่เชื่อมต่ออยู่ด้วยนั้นยังทำงานและออนไลน์อยู่หรือเปล่า ช่องโหว่ที่ว่า จะมาจากขั้นตอนที่ Heartbeat extension นั้นจะอนุญาตให้ระบบที่ต้องการติดต่อกับเครื่องปลายทาง เครื่องต้นทางจะมีการส่งการร้องขอ เข้ามาเพื่อให้เครื่องปลายทางตอบกลับ แต่ขั้นตอนนี้จะมีความผิดพลาดในการตรวจสอบข้อมูล ทำให้ในกรณีที่เครื่องต้นทางที่มีการร้องขอ ได้ส่งการร้องขอเข้ามาที่เครื่องปลายทางในรูปแบบพิเศษ โดยไม่มีการระบุความยาวของข้อมูลที่ส่งกลับ หรือ มีการระบุความยาวของข้อมูลที่ส่งกลับมากกว่าขนาดของการร้องขอแบบปกติ เครื่องปลายทางจะไปอ่านและดึงข้อมูลจากหน่วยความจำของตัวเครื่องออกมา ซึ่งจะมีขนาดของข้อมูล 64 กิโลไบต์ และข้อมูลนั้นที่อยู่ในหน่วยความจำดังกล่าว จะถูกเก็บแบบไม่มีการเข้ารหัสลับ จากนั้น เครื่องปลายทางก็จะส่งข้อมูลดังกล่าว กลับไปให้เครื่องต้นทางที่ร้องขอ ถึงแม้ว่าขนาดของข้อมูล 64 กิโลไบต์ ข้อมูลที่ได้อาจจะไม่มากพอสำหรับการนำไปใช้ แต่ทางแฮกเกอร์ก็ยังสามารถส่งการร้องขอ...