Heartbleed

Το Heartbleed είναι ένα σφάλμα λογισμικού που προκαλεί κενό ασφάλειας (security bug) στην ανοιχτού κώδικα βιβλιοθήκη κρυπτογραφίας OpenSSL, που χρησιμοποιείται ευρέως στο πρωτόκολλο ασφάλειας επιπέδου μεταφοράς του Διαδικτύου TLS (Transport Layer Security). Πρόκειται για ένα τρωτό σημείο, που οφείλεται σε απουσία ελέγχου ορίων, στην επέκταση heartbeat του πρωτοκόλλου TLS.^[3] Μία διορθωμένη έκδοση του OpenSSL, διατέθηκε στις 7 Απριλίου 2014, ημερομηνία που αποκαλύφθηκε δημοσίως το Heartbleed. Τότε, περίπου 17% (σχεδόν μισό εκατομμύριο) από τους ασφαλείς εξυπηρετητές ιστού του Διαδικτύου, που είχαν πιστοποιηθεί από έμπιστες αρχές, θεωρήθηκε ότι ήταν τρωτοί σε επίθεση, επιτρέποντας την κλοπή των ιδιωτικών κλειδιών των εξυπηρετητών, καθώς και των συνθηματικών και των cookies των συνεδριών επισκέψεων των χρηστών του Διαδικτύου.^{[4][5][6][7][8]} Τόσο το Ίδρυμα Ηλεκτρονικών Συνόρων (Electronic Frontier Foundation)^[9], όσο και η Ars Technica^[10] και ο Μπρους Σνάϊερ^[11] θεώρησαν το Heartbleed καταστροφικό. Ο αρθογράφος του Φόρμπς σε θέματα κυβερνοασφάλειας Τζόζεφ Στάινμπεργκ έγραψε: "Ορισμένοι θεωρούν ότι το Heartbleed αποδεικνύεται το σοβαρότερο κενό ασφάλειας (τουλάχιστον αναφορικά με τις εν δυνάμει επιπτώσεις του) που έχει ανακαλυφθεί αφότου ξεκίνησε η εμπορική χρήση του Διαδικτύου".^[12]

Λογότυπο που αναπαριστά το Heartbleed. Η εταιρεία ασφάλειας Codenomicon έδωσε στο σφάλμα τόσο το όνομα όσο και το λογότυπο, συνεισφέροντας στη δημόσια ευαισθητοποίηση για το ζήτημα.^[1][2] 

Εκπρόσωπος της κυβέρνησης του Ηνωμένου Βασιλείου πραγματοποίησε την ακόλουθη σύσταση: "Οι άνθρωποι πρέπει να ακολουθούν τη συμβουλή να αλλάζουν τα συνθηματικά σε ιστοχώρους που επισκέπτονται... Οι περισσότεροι ιστότοποι έχουν διορθώσει το σφάλμα και οι εκπρόσωποί τους είναι οι πλέον αρμόδιοι για να συμβουλέψουν τους χρήστες".^[13] Την ημέρα της αποκάλυψης του σφάλματος, το Tor Project συμβούλεψε οποιονδήποτε αναζητά "ισχυρή ανωνυμία ή ασφάλεια στο Διαδίκτυο να το αποφύγει εντελώς για τις επόμενες ημέρες μέχρι να καταλαγιάσουν τα πράγματα."^[14]

To Heartbleed έχει καταχωρηθεί στο Σύστημα Κοινών Αδυναμιών (Common Vulnerabilities and Exposures) ως CVE-2014-0160.^[15] Το ομοσπονδιακό Καναδικό Κέντρο Αντιμετώπισης Κυβερνοσυμβάντων εξέδωσε ανακοινωθέν προς διαχειριστές ασφαλείας σχετικά με το σφάλμα.^[16]

Ιστορία

Εμφάνιση

Η επέκταση Heartbeat για τα πρωτόκολλα TLS (Transport Layer Security) και DTLS (Datagram Transport Layer Security) είναι προτεινόμενο πρότυπο RFC 6520, που δημοσιεύθηκε το Φεβρουάριο του 2012. Παρέχει έναν τρόπο για να ελέγχει και να διατηρεί ασφαλείς επικοινωνιακούς διαύλους, χωρίς να χρειάζεται επαναδιαπραγμάτευση της σύνδεσης.

To 2011, ο Ρόμπεν Ζέγγελμαν (Robin Seggelmann), τότε υποψήφιος διδάκτορας στο Πανεπιστήμιο του Ντούισμπουργκ - Έσσης (Duisburg-Essen), υλοποίησε την επέκταση Heartbeat για το OpenSSL.^[17][18][19] Ο Στέφεν Ν. Χένσον, ένας από τους τέσσερις βασικούς προγραμματιστές του OpenSSL, επιθεώρησε την επέκταση και κατά τα φαινόμενα δεν πρόσεξε το σφάλμα στην υλοποίηση του Ζέγγελμαν^[20] και έτσι εισήγαγε τον προβληματικό προγραμματιστικό κώδικα στο αποθετήριο του πηγαίου κώδικα του OpenSSL στις 31 Δεκεμβρίου 2011. Ο τρωτός κώδικας τέθηκε σε ευρεία χρήση με τη διανομή της έκδοσης 1.0.1 του OpenSSL στις 14 Μαρτίου 2012. Επιπλέον το χαρακτηριστικό Heartbeat ενεργοποιήθηκε εξ' ορισμού, με αποτέλεσμα οι επηρεαζόμενες εκδόσεις να είναι εξ' ορισμού τρωτές στο κενό ασφάλειας.^[21][22][23]

Ανακάλυψη

Σύμφωνα με τον Μάρκ Τζ. Κόξ του OpenSSL, ο Νήλ Μεχτα (Neel Mehta) από την ομάδα ασφαλείας της Google ανέφερε το Heartbleed στις 1 Απριλίου 2014.^[24] Το κενό ασφάλειας επέτρεπε ένα σφάλμα διαχείρισης μνήμης βαρύνουσας σημασίας στην υλοποίηση της επέκτασης Heartbeat του TLS.^[25][26] Το ελάττωμα επιτρέπει να αποκαλυφθούν 64 kilobytes από τη μνήμη της εφαρμογής, με κάθε απόπειρα επαναδιαπραγμάτευσης της συνεδρίας του συνδεδεμένου χρήστη (heartbeat).^[26]

Το όνομα που δόθηκε στο σφάλμα, επινοήθηκε από ένα μηχανικό της φίρμας Codenomicon, μιας Φινλανδικής εταιρείας κυβερνοασφάλειας, που δημιούργησε και το λογότυπο αλλά και το δικτυακό ιστότοπο heartbleed.com για να εξηγήσει το σφάλμα δημοσίως.^[27] Σύμφωνα με την Codenomicon, ο Νηλ Μεχτα ήταν ο πρώτος που ανέφερε το σφάλμα στο OpenSSL, αλλά τόσο η Google όσο και η Codenomicon, το ανακάλυψαν ανεξαρτήτως της αναφοράς του.^[21] Η Codenomicon αναφέρει την 3η του Απρίλη ως την ημερομηνία ανακάλυψης του κενού ασφαλείας αλλά και ως ημερομηνία αναφοράς στην NCSC-FI (παλαιότερα γνωστή ως CERT-FI), προκειμένου να συντονιστεί η αντιμετώπιση του ζητήματος.^[21] Ο Μεχτα επίσης συνεχάρη την Codenomicon, χωρίς να υπεισέλθη σε περισσότερες λεπτομέρειες.^[28]

Η εφημερίδα Sydney Morning Herald δημοσίευσε ένα χρονοδιάγραμμα της ανακάλυψης στις 15 Απριλίου 2014, που εμφανίζει ορισμένους οργανισμούς να διορθώνουν το κενό ασφάλειας πριν τη δημόσια αποκάλυψή του. Σε ορισμένες περιπτώσεις δεν είναι ξεκάθαρο πως το είχαν ανακαλύψει.^[29]

Επίλυση

Στις 21 Μαρτίου 2014 ο Μπόντο Μέλλερ (Bodo Moeller) και ο Άνταμ Λάνγκλεϊ (Adam Langley) της Google έγραψαν μία λύση που επιλύει το σφάλμα. Η ημερομηνία επίλυσης είναι γνωστή από τον αρχειοθέτη της Red Hat^[30]. Η επόμενη ημερομηνία που είναι γνωστή στο κοινό, αφορά στον ισχυρισμό της εταιρείας ασφάλειας και επιδόσεων CloudFlare ότι κατάφεραν να επιδιορθώσουν το σφάλμα στα συστήματά τους στις 31 Μαρτίου 2014.^[31] Ο Στέφεν Ν. Χένσον εφάρμοσε την επίλυση στο σύστημα ελέγχου εκδόσεων του OpenSSL στις 7 Απριλίου.^[32] Η πρώτη διορθωμένη έκδοση, 1.0.1g, δόθηκε στο κοινό την ίδια μέρα.

Διανομή

• Ως τις 8 Μαϊου 2014, 318.239 δημόσιοι εξυπηρετητές παρέμεναν ευάλωτοι.^[33]
• Ως τις 21 Ιουνίου 2014, 309.197 δημόσιοι εξυπηρετητές εξακολουθούσαν να παραμένουν ευάλωτοι.^[34]

Ανανέωση και ανάκληση πιστοποιητικών ασφαλείας

Σύμφωνα με τη Netcraft σχεδόν 30.000 από τα άνω των 500.000 πιστοποιητικών X.509 που ήταν ευάλωτα στο κενό ασφαλείας Heartbleed επανεκδόθηκαν ως τις 11 Απριλίου 2014 αν και πολύ λιγότερα ήταν όσα ανακλήθηκαν.^[35]

Ως τις 9 Μαϊου 2014, μόνο το 43% των ευπαθών ιστοσελίδων είχαν επανεκδόσει τα πιστοποιητικά ασφαλείας τους.^[36] Επιπρόσθετα, το 7% των επανεκδοθέντων πιστοποιητικών χρησιμοποιούσε δυνητικά κλεμμένα κλειδιά. «Χρησιμοποιώντας το ίδιο ιδιωτικό κλειδί, ένας ιστοχώρος που ήταν τρωτός στο Heartbleed εξακολουθεί να αντιμετωπίζει ακριβώς την ίδια απειλή, με όσους δεν είχαν αντικαταστήσει τα πιστοποιητικά SSL», δήλωσε η Netcraft.^[36] Σύμφωνα με την eWeek, το Heartbleed «πιθανόν να παραμείνει υπαρκτή απειλή για μήνες, αν όχι για χρόνια».^[36]

Εκμετάλλευση

Η Καναδέζικη εφορία ανέφερε την κλοπή αριθμών κοινωνικής ασφάλισης που ανήκαν σε 900 φορολογούμενους και δήλωσε ότι υπεκλάπησαν χρησιμοποιώντας αυτό το κενό ασφάλειας μέσα σε μία περίοδο 6 ωρών στις 8 Απριλίου 2014.^[37] Η Υπηρεσία Εισοδήματος του Καναδά τελικώς παρείχε δωρεάν υπηρεσίες προστασίας του ηλεκτρονικού χαρτοφυλακίου τους στους παθόντες. Στις 16 Απριλίου η Καναδέζικη Αστυνομία (RCMP) ανακοίνωσε ότι απήγγειλαν κατηγορίες σε έναν φοιτητή σχτικά με την υποκλοπή, για «μη εξουσιοδοτημένη χρήση υπολογιστή» και «κακόβουλη χρήση δεδομένων».^[38][39]

Σε ένα άλλο συμβάν, ο Βρεττανικός ιστοχώρος Mumsnet, που παρέχει συμβουλές σε γονείς, υπέστη υποκλοπή αρκετών λογαριασμών χρηστών του, όπως και πλαστή μίμηση του διευθυντή του.^[40] Ο ιστοχώρος δημοσίευσε περιγραφή του συμβάντος.^[41]

Ερευνητές κατά των κακόβουλων λογισμικών κατόρθωσαν να εκμεταλλευτούν το κενό ασφαλείας Hearbleed, για να αποκτήσουν πρόσβαση σε μυστικούς χώρους συζήτησης (fora) που χρησιμοποιούνται από κυβερνοεγκληματίες.^[42]

Στις 12 Απριλίου 2014, τουλάχιστον δύο ανεξάρτητοι ερευνητές κατάφεραν να υποκλέψουν ιδιωτικά κλειδιά από έναν πειραματικό εξυπηρετητή, χρησιμοποιώντας αυτό το κενό ασφαλείας. Ο εξυπηρετητής είχε εγκατασταθεί για αυτό το σκοπό από την Cloud Flare.^[43][44]

Στις 8 Απριλίου 2014, ένας καθηγητής του πανεπιστημίου του Μίσιγκαν, ανέφερε ότι πραγματοποιήθηκε επίθεση εναντίον ενός εξυπηρετητή του πανεπιστημίου, που προσπαθούσε να εκμεταλλευτεί το κενό ασφάλειας Hearbleed, μέσω ενός υπολογιστή στην Κίνα, που είχε χρησιμοποιηθεί και στο παρελθόν για κακόβουλες ενέργειες. Στην πραγματικότητα ο εξυπηρετητής λειτουργούσε ως δόλωμα, όντας εκτεθειμένος επίτηδες, προκειμένου να προσελκύσει επιθέσεις, που αργότερα θα μπορούσαν να αποτελέσουν αντικείμενο έρευνας.^[45]

Πιθανή γνώση και εκμετάλλευση πριν την αποκάλυψη

Πολλοί σημαντικοί ιστοχώροι επιδιόρθωσαν και αντιμετώπισαν το κενό ασφαλείας μέσα σε λίγες ημέρες από την ανακοίνωσή του ^[46], αλλά δεν είναι ξεκάθαρο αν ήταν νωρίτερα γνωστό σε δυνητικούς χάκερ και αν και σε ποιο βαθμό χρησιμοποιήθηκε αυτή η αδυναμία.

Βάσει εξέτασης μητρώων ελέγχου από ερευνητές, αναφέρθηκε ότι ορισμένοι χάκερ μπορεί να είχαν εκμεταλλευτεί το κενό ασφαλείας για τουλάχιστον πέντε μήνες πριν την αποκάλυψή του.^[47][48]

Η Errata Security παρατήρησε ότι το "Masscan", ένα κακόβουλο λογισμικό σε ευρεία χρήση, εμφανίσθηκε 6 μήνες πριν την αποκάλυψη του Heartbleed. Διακόπτει την ασφαλή σύνδεση εν μέσω της αποστολής δεδομένων, σε αναλογία με τα λογισμικά που ερευνούν σαρώνοντας για το Heartbleed, δημιουργώντας τα ίδια μητρώα. «Δύο νέα λογισμικά που παράγουν τα ίδια μητρώα σφαλμάτων, μπορεί να φαίνεται ότι συσχετίζονται, ενώ στην πραγματικότητα αυτό δε συμβαίνει».^[49]

Συμπεριφορά

Η επέκταση RFC 6520 (Heartbeat) ελέγχει τις ασφαλείς τηλεπικοινωνιακές ζεύξεις βάσει πρωτοκόλλων TLS/DTLS επιτρέποντας στον υπολογιστή στη μία άκρη της σύνδεσης να αποστείλει ένα «Αίτημα Heartbeat», που περιέχει το φορτίο, τυπικά μία συμβολοσειρά, μαζί με το μήκος της, εκφρασμένου ως ενός ακεραίου 16 ψηφίων. Ο άλλος υπολογιστής, πρέπει να αποστείλει πίσω στον αποστολέα το ίδιο ακριβώς μήνυμα.

 

Απλουστευμένη επεξήγηση του Heartbleed

Οι επηρεαζόμενες εκδόσεις του OpenSSL δεσμεύουν μία προσωρινή περιοχή στη μνήμη για το επιστρεφόμενο μήνυμα βάσει του πεδίου που ορίζει το μήκος στο μήνυμα αίτησης, χωρίς να ελέγχουν το πραγματικό μέγεθος του μηνύματος. Εξαιτίας αυτής της αποτυχίας ελέγχου ορίων, το επιστρεφόμενο μήνυμα περιέχει το αρχικό μήνυμα, που δυνητικά ακολουθείται από οτιδήποτε άλλο παρείσφρησε στη δεσμευμένη περιοχή μνήμης.

Μπορεί κάποιος να εκμεταλλευτεί το Heartbleed στέλνοντας ένα κλεψίτυπο αίτημα Heartbeat. Προϋπόθεση να έχει μικρό όγκο με πεδίο μήκους με μεγάλη δηλωμένη ψευδή τιμή. Έτσι, ο στόχος (συνήθως εξυπηρετητής) αποστέλει αίτημα απάντησης, επιτρέποντας στον επιτιθέμενο να διαβάσει ως και 64 kilobytes μνήμης από τον υπολογιστή - θύμα, που πιθανόν να περιέχουν χρήσιμες πρόσφατες πληροφορίες σύνδεσης μέσω OpenSSL.^[50]

Έτσι για παράδειγμα, εάν ένα αίτημα Heartbeat ζητά από έναν υπολογιστή να στείλει τη λέξη «πουλί», μήκους 5 χαρακτήρων, θα λάβει ως απάντηση ένα μήνυμα με το περιεχόμενο «πουλί». Αντίθετα, αν ένα πλαστό αίτημα Heartbleed αιτείται τη λέξη «πουλί», που δηλώνεται ως έχουσα μήκος 500 χαρακτήρων, ο υπολογιστής - θύμα θα επιστρέψει τη λέξη «πουλί», ακολουθούμενη από οποιουσδήποτε 495 χαρακτήρες τυχαίνει να βρίσκονται στη μνήμη του υπολογιστή. Έτσι, οι επιτιθέμενοι θα μπορούσαν να υποκλέψουν ευαίσθητα δεδομένα, υπονομεύοντας την εμπιστευτικότητα των επικοινωνιών του θύματος. Αν και ο επιτιθέμενος έχει μερικό έλεγχο στο μέγεθος του αποκαλυφθέντος τμήματος μνήμης, δεν μπορεί να επιλέξει τμήμα μνήμης, οπότε και δεν μπορεί να επιλέξει το περιεχόμενο των δεδομένων που θα του αποκαλυφθούν. Συνήθως το OpenSSL αποκρίνεται με εκείνα τα δεδομένα που βρίσκονται στα πιο πρόσφατα αποδεσμευμένα τμήματα μνήμης.

Ευπαθείς εγκαταστάσεις OpenSSL

Οι ευπαθείς εκδόσεις είναι από την 1.0.1 μέχρι και την 1.0.1f. Ύστερες εκδόσεις (1.0.1g και μετά^[51]) και προηγούμενες εκδόσεις (1.0.0 και παλαιότερες^[52]) δεν είναι τρωτές σε αυτό το κενό ασφάλειας.

Επίλυση

Το πρόβλημα επιλύθηκε απορρίπτοντας τα αιτήματα Heartbeat που ζητούν περισσότερα δεδομένα από ότι απαιτεί το μήκος τους. Η έκδοση 1.0.1g του OpenSSL έχει προσθέσει μερικούς ελέγχους ορίων για να αποτρέψει υπερχείλιση της προσωρινής περιοχής μνήμης.

Το σύστημα ελέγχου εκδόσεων περιέχει μία ενδελεχή λίστα αλλαγών.^[32]

Αντίκτυπος

Τα υποκλεμμένα δεδομένα μιας επίθεσης Heartbleed μπορεί να περιλαμβάνουν συναλλαγές μεταξύ συνδιαλλεγόμενων σε επίπεδο TLS, συμπεριλαμβονομένων δεδομένων απαιτήσεων χρηστών που αποστέλλονται μέσω φορμών με τη μέθοδο POST. Επιπρόσθετα τα εκτεθειμένα εμπιστευτικά δεδομένα μπορεί να συμπεριλαμβάνουν μυστικά αυθεντικοποίησης όπως συνθηματικά και cookies συνεδριών, που μπορεί να δώσουν σε επιτιθέμενους τη δυνατότητα να υποδυθούν το χρήστη μιας υπηρεσίας.^[53]

Μία έρευνα που διενεργήθηκε επί ενήλικων Αμερικανών τον Απρίλιο του 2014 έδειξε ότι το 60% είχε ακούσει για το Heartbleed. Ανάμεσα σε όσους ήταν χρήστες του Διαδικτύου, το 39% είχε προστατέψει τους διαδικτυακούς λογαριασμούς του, αλλάζοντας το συνθηματικό τους ή ακυρώνοντας το λογαριασμό τους. Το 29% πίστευαν ότι κινδύνευαν προσωπικές τους πληροφορίες λόγω του κενού ασφαλείας. Το 6% πίστευε ότι οι προσωπικές τους πληροφορίες είχαν υποκλαπεί.^[54]

Τρωτότητα από την πλευρά του τελικού χρήστη - πελάτη

Αν και το κενό ασφαλείας έλαβε περισσότερη έκταση στη δημοσιότητα λόγω του κινδύνου που αντιπροσωπεύει προς τους εξυπηρετητές^[55], τελικοί χρήστες του TLS που χρησιμοποιούσαν τα επίμαχα στιγμιότυπα του OpenSSL ήταν εξίσου τρωτοί.

Παραπομπές

1. McKenzie, Patrick (9 Απριλίου, 2014 "What Heartbleed can Teach The OSS Community About Marketing"
2. Biggs, John (9 Απριλίου 2014). "Heartbleed, The First Security Bug With A Cool Logo".TechCrunch.
3. "Cyberoam Security Advisory - Heartbleed Vulnerability in OpenSSL" Αρχειοθετήθηκε 2014-11-05 στο Wayback Machine.. April 11, 2014.
4. Mutton, Paul (April 8, 2014). "Half a million widely trusted websites vulnerable to Heartbleed bug". Netcraft Ltd.
5. Perlroth, Nicole; Hardy, Quentin (April 11, 2014). "Heartbleed Flaw Could Reach to Digital Devices, Experts Say". New York Times.
6. Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times.
7. Wood, Molly (April 10, 2014). "Flaw Calls for Altering Passwords, Experts Say". New York Times.
8. Manjoo, Farhad (April 10, 2014). "Users’ Stark Reminder: As Web Grows, It Grows Less Secure". New York Times.
9. Zhu, Yan (April 8, 2014). "Why the Web Needs Perfect Forward Secrecy More Than Ever". Electronic Frontier Foundation.
10. Goodin, Dan (April 8, 2014). "Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style". Ars Technica.
11. "Schneier on Security: Heartbleed". Schneier on Security. April 11, 2014.
12. Steinberg, Joseph (April 10, 2014). "Massive Internet Security Vulnerability – Here's What You Need To Do". Forbes.
13. Kelion, Leo (April 11, 2014). "BBC News - US government warns of Heartbleed bug danger". BBC.
14. "OpenSSL bug CVE-2014-0160". Tor Project. April 7, 2014.
15. "CVE – CVE-2014-0160". Cve.mitre.org. Ανακτήθηκε 17 Απριλίου, 2014.
16. "OpenSSL Heartbleed Vulnerability Αρχειοθετήθηκε 2014-04-15 στο Wayback Machine.". Cyber Security Bulletins. Public Safety Canada. April 11, 2014. Ανακτήθηκε στις 17 Απριλίου, 2014.
17. Grubb, Ben (April 11, 2014). "Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately". The Sydney Morning Herald. Ανακτήθηκε 19 Απριλίου 2014.
18. "#2658: [PATCH] Add TLS/DTLS Heartbeats Αρχειοθετήθηκε 2017-08-08 στο Wayback Machine.". OpenSSL. 2011.
19. "Meet the man who created the bug that almost broke the Internet". Globe and Mail. April 11, 2014. Ανακτήθηκε στις 19 Απριλίου 2014.
20. Site of Appearance and Discovery on Github
21. Codenomicon Ltd (April 8, 2014). "Heartbleed Bug Αρχειοθετήθηκε 2014-04-07 στο Wayback Machine.". Ανακτήθηκε 19 Απριλίου 2014.
22. Goodin, Dan (April 8, 2014). "Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping". Ars Technica. Ανακτήθηκε 19 Απριλίου 2014.
23. Hagai Bar-El (April 9, 2014). "OpenSSL "Heartbleed" bug: what's at risk on the server and what is not Αρχειοθετήθηκε 2014-04-20 στο Wayback Machine.". Ανακτήθηκε στις 19 Απριλίου 2014.
24. "Mark J Cox – #Heartbleed". Ανακτήθηκε στις 18 Απριλίου 2014.
25. Seggelmann, R. et al. (February 2012). "Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension". RFC 6520. Internet Engineering Task Force (IETF). Ανακτήθηκε στις 18 Απριλίου 2014.
26. The OpenSSL Project (April 7, 2014). "[https://web.archive.org/web/20140408195036/https://www.openssl.org/news/secadv_20140407.txt Αρχειοθετήθηκε 2014-04-08 στο Wayback Machine. OpenSSL Security Advisory [07 Απριλίου 2014]]".
27. "Why is it called the 'Heartbleed Bug'?".Ανακτήθηκε στις 20 Απριλίου 2014.
28. Mehta, Neel. "Don't forget to patch DTLS". Twitter. Ανακτήθηκε στις 20 Απριλίου 2014.
29. Ben Grubb (2014-04-14), Heartbleed disclosure timeline: who knew what and when,Sydney Morning Herald. Ανακτήθηκε στις 21 Απριλίου 2014.
30. "heartbeat_fix". Ανακτήθηκε στις 22 Απριλίου 2014.
31. "CloudFlare – Update on the Heartbleed OpenSSL Vulnerability Αρχειοθετήθηκε 2014-07-31 στο Wayback Machine.". 12 Απριλίου 2014. Ανακτήθηκε στις 22 Απριλίου 2014.
32. «The OpenSSL Project. Add hearbeat bounds check». 
33. Graham, Robert. «"300k servers vulnerable to Heartbleed one month later"». Errata Security. Ανακτήθηκε στις 24 Ιουλίου 2014. 
34. Graham, Robert. «300k vulnerable to Heartbleed two months later». Ανακτήθηκε στις 24 Ιουλίου 2014. 
35. «Heartbleed certificate revocation tsunami yet to arrive». Ανακτήθηκε στις 25 Ιουλίου 2014. 
36. Kerner, Sean Michael. «Heartbleed Still a Threat to Hundreds of Thousands of Servers». eWeek. Αρχειοθετήθηκε από το πρωτότυπο στις 11 Μαΐου 2014. Ανακτήθηκε στις 26 Ιουλίου 2014. 
37. Evans, Pete. «Heartbleed bug: RCMP asked Revenue Canada to delay news of SIN thefts». CBC News. Business. Ανακτήθηκε στις 27 Ιουλίου 2014. 
38. «Stephen Arthuro Solis-Reyes charged in Heartbleed-related SIN theft». CBC News. Ανακτήθηκε στις 27 Ιουλίου 2014. 
39. «Heartbleed hack case sees first arrest in Canada». BBC News. Ανακτήθηκε στις 27 Ιουλίου 2014. 
40. Kelion, Leo. «Heartbleed hacks hit Mumsnet and Canada's tax agency». BBC News Technology. Ανακτήθηκε στις 28 Ιουλίου 2014. 
41. «Mumsnet and Heartbleed as it happened». mumsnet. Αρχειοθετήθηκε από το πρωτότυπο στις 29 Δεκεμβρίου 2017. Ανακτήθηκε στις 28 Ιουλίου 2014. 
42. Ward, Mark. «Heartbleed used to uncover data from cyber-criminals». BBC News Technology. Ανακτήθηκε στις 31 Ιουλίου 2014. 
43. Lawler, Richard. «Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible». engadget. Ανακτήθηκε στις 2 Αυγούστου 2014. 
44. «The Heartbleed Challenge». cloudflarechallenge. Αρχειοθετήθηκε από το πρωτότυπο στις 12 Απριλίου 2014. Ανακτήθηκε στις 2 Αυγούστου 2014. 
45. Robertson, Jordan. «Hackers from China waste little time in exploiting Heartbleed». Ανακτήθηκε στις 3 Αυγούστου 2014. 
46. Cipriani, Jason. «Heartbleed bug: Check which sites have been patched». Ανακτήθηκε στις 4 Αυγούστου 2014. 
47. Gallagher, Sean. «Heartbleed vulnerability may have been exploited months before patch [Updated]». Ανακτήθηκε στις 6 Αυγούστου 2014. 
48. Eckersley, Peter. «Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?». Ανακτήθηκε στις 6 Αυγούστου 2014. 
49. «No, we weren't scanning for hearbleed before April 7». Ανακτήθηκε στις 7 Αυγούστου 2014. 
50. «Everything you need to know about the Heartbleed SSL bug». Ανακτήθηκε στις 11 Αυγούστου 2014. 
51. «Git log». Αρχειοθετήθηκε από το πρωτότυπο στις 15 Απριλίου 2014. Ανακτήθηκε στις 6 Σεπτεμβρίου 2014. 
52. «Cyberoam Users Need not Bleed over Heartbleed Exploit». Ανακτήθηκε στις 6 Σεπτεμβρίου 2014. 
53. «Why Heartbleed is dangerous? Exploiting CVE-2014-0160». Αρχειοθετήθηκε από το πρωτότυπο στις 8 Απριλίου 2014. Ανακτήθηκε στις 6 Νοεμβρίου 2014. 
54. «Heartbleed's Impact». 
55. «Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack».