Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Septembra 2024)
Náš príbeh z apríla z apríla „Zostaňte anonymní online“ priniesol veľa predaja a viac ako trochu kontroverzie. Vo svete, kde nás neustále sledujú maloobchodníci, poskytovatelia internetových služieb, značky, priatelia, NSA a áno, dokonca aj vydavatelia, sa ukázalo, že členovia americkej verejnosti sa zúfalo snažia chrániť posledné vzácne podrobnosti svojho súkromného života. Naša rada bola solídna a užitočná. A potom to Heartbleed urobil všetko.
Ako už pravdepodobne viete, Heartbleed je najväčšou dierou v základnej infraštruktúre internetu. Ten malý zámok v pravom hornom rohu vášho prehliadača, ktorý vám my technickí ľudia neustále hovoria, aby ste hľadali, ten, čo znamená, že ste nadviazali zabezpečené pripojenie? Ukazuje sa, že je nefunkčný od roku 2011.
Aby bolo jasné, Heartbleed nie je „vírus“, ako ho nedávno opísal jeden bezradný hostiteľ Národného rozhlasu. Ide o zraniteľnosť v OpenSSL, čo je šifrovací protokol s otvoreným zdrojom, ktorý vytvára bezpečné spojenie medzi klientom a serverom. Zlým skreslením údajov, ktoré prechádzajú medzi týmito dvoma systémami, je možné informácie získať z pamäte jedného alebo oboch.
Heartbleed bol spôsobený jednoduchou chybou kódovania, ktorú urobil nemecký programátor na Silvestra 2011. Nikto to nezachytil. Skôr, ak to niekto chytil, nepovedali nič, čo by mohlo byť dokonca desivejšie.
Možno si nebudete myslieť, že používate OpenSLL, ale áno. Používajú ho dve tretiny všetkých webových stránok. Protokol používajú banky, vyhľadávače, online maloobchodníci a dokonca aj pripojené domáce spotrebiče. Podpora OpenSSL je zabudovaná do množstva sieťového hardvéru a môže ju používať dokonca aj samotný klient VPN, od ktorého závisí vaša spoločnosť pri zabezpečení svojich interných systémov.
Odkryté informácie by mohli byť čokoľvek, čo by sa nachádzalo v systémovej pamäti, takže nájdenie cenných vecí by vyžadovalo určité preosievanie. Zmysel pre to nebude triviálny, ale je to možné. Heslá, čísla sociálneho zabezpečenia, e-maily, dokumenty - všetky môžu byť zraniteľné. Ak by niekto chcel zachytiť informácie o „bezpečnom“ spojení, môže to urobiť.
Horšie je, že toho veľa nemôžete urobiť pre svoju ochranu. Všetky ovplyvnené weby a služby zavádzajú novú opravenú verziu OpenSSL, ale pokiaľ tak neurobia, neexistuje žiadny skutočný dôvod na zmenu vašich hesiel. Ešte dôležitejšie je, ak má niekto kolekciu existujúceho sieťového prenosu z obdobia Heartbleed, nič mu nebráni používať zraniteľnosť Heartbleed na dešifrovanie tejto množiny údajov. Poškodenie nemožno vrátiť.
Zdá sa, že k príbehu by malo byť viac, ale v skutočnosti nie. Obrovská diera na internete nechala prevádzku vystavenú roky. Nikto nevie, či bol zneužitý. Tento priemysel ho opravuje. Nemôžete robiť nič.
Nie, toto nie je presne ten druh technologického posilnenia, ktorého sme tu v PC Magazine fanúšikmi, ale možno si na tento príbeh musíme zvyknúť. Môže sa to stať znova.
Na oveľa ľahšiu poznámku v tomto čísle otestujeme a preskúmame dva vynikajúce smartphony. HTC One (M8) získava vysoké známky za svoju kvalitu zostavenia a sofistikovanosť. Galaxy S5 nadväzuje na tradíciu spoločnosti Samsung načítavať svoje vlajkové telefóny so všetkými možnými funkciami. Sú to vynikajúce telefóny; ktoré uprednostňujete, je záležitosťou osobného vkusu, ale naša recenzia vám môže pomôcť pri výbere.
Dobrou správou je, že oba telefóny používajú najnovšiu verziu systému Android, verziu 4.4. Spomenul som, že viac ako 90 miliónov zariadení s Androidom 4.1 je stále ohrozených Heartbleed a pravdepodobne nikdy nedostanú aktualizácie?
Možno je čas na inováciu.
ZOBRAZIŤ VŠETKY FOTKY V GALÉRII
