È abbastanza facile rilevare l'exploit heartbleed se tutto accade su cleartext, cosa che sembra che la maggior parte delle cose stia facendo per il momento. Tuttavia, credo che ci siano alcuni exploit senza problemi che si verificano dopo la crittografia, perché la RFC consente (e suggerisce) che le richieste di heartbeat vengano inviate crittografate.
Da RFC 6520:
A HeartbeatRequest message can arrive almost at any time during the lifetime of a connection. Whenever a HeartbeatRequest message is
received, it SHOULD be answered with a corresponding
HeartbeatResponse message.However, a HeartbeatRequest message SHOULD NOT be sent during
handshakes. If a handshake is initiated while a HeartbeatRequest is
still in flight, the sending peer MUST stop the DTLS retransmission
timer for it. The receiving peer SHOULD discard the message
silently, if it arrives during the handshake. In case of DTLS,
HeartbeatRequest messages from older epochs SHOULD be discarded.
Come sopra riportato, un HeartbeatRequest NON DEVE essere inviato durante le strette di mano. La mia ipotesi è che molti exploit oggi vengano inviati durante la stretta di mano per essere più efficienti.
In caso affermativo, che aspetto ha un HeartbeatRequest durante l'handshake rispetto a HeartbeatRequest dopo che è stato crittografato e in che modo è possibile monitorare e rilevare gli exploit di Heartbleed post-crittografia sulla rete (non sull'endpoint)?