Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Oktober 2024)
Naša aprilska zgodba o naslovnici "Ostanite anonimni na spletu" je povzročila veliko prodaje in več kot malo polemike. V svetu, v katerem nas nenehno spremljajo trgovci na drobno, ponudniki internetnih storitev, blagovne znamke, prijatelji, nedržavni organi in da, tudi založniki, se zdi, da člani ameriške javnosti obupajo, da bi zaščitili zadnje dragocene podrobnosti svojega zasebnega življenja. Naš nasvet je bil trden in uporaben. In potem je Heartbleed vse posrečil.
Kot je verjetno, veste do zdaj, je največja luknja v srčni infrastrukturi, ki jo kdaj najdete. Tista majhna ključavnica v zgornjem desnem kotu brskalnika, o kateri vam strokovnjaki nenehno govorimo, naj iščete, tista, ki pomeni, da ste vzpostavili varno povezavo? Izkazalo se je, da je pokvarjen od leta 2011.
Da je jasno, Heartbleed ni "virus", kot ga je pred kratkim opisal en brezsrčni gostitelj za National Public Radio. Gre za ranljivost v OpenSSL, ki je protokol šifriranja z odprto kodo, ki vzpostavi varno povezavo med odjemalcem in strežnikom. Z napačno predstavitvijo podatkov, ki potujejo med obema sistemoma, se lahko informacije zajamejo iz pomnilnika enega ali obeh.
Heartbleed je povzročila preprosta napaka v kodiranju, ki jo je na novoletni večer naredil nemški programer 2011. Nihče ga ni ujel. Namesto da bi ga kdo ujel, ni rekel ničesar, kar je morda še bolj strašno.
Morda ne mislite, da uporabljate OpenSLL, vendar je. Uporabljajo ga dve tretjini vseh spletnih strani. Banke, iskalniki, spletni trgovci in celo povezani gospodinjski aparati uporabljajo protokol. Podpora OpenSSL je vgrajena v veliko omrežne strojne opreme, zato jo lahko uporablja celo tisti VPN odjemalec, od katerega je odvisno vaše podjetje, da zaščiti svoje notranje sisteme.
Izpostavljene informacije bi lahko bile vse, kar je v vašem sistemskem pomnilniku, zato bi bilo treba dragocene stvari presejati. Smiselnost tega ne bi bilo nepomembno, vendar je mogoče. Gesla, številke socialne varnosti, elektronska pošta, dokumenti - vsi bi lahko bili ranljivi. Če bi kdo želel prestreči informacije na "varni" povezavi, bi to lahko storil.
Še huje, ne morete veliko storiti, da se zaščitite. Vsa prizadeta spletna mesta in storitve uvajajo novo zakrpljeno različico OpenSSL-ja, vendar do tega trenutka ni nobenega resničnega razloga za spremembo gesla. Še pomembneje je, če ima kdo zbirko obstoječega omrežnega prometa iz obdobja Heartbleeda, ničesar ne preprečuje, da bi s šibkostjo Heartbleed uporabili šifriranje tega nabora podatkov. Škode ni mogoče odpraviti.
Zdi se, da bi moralo biti več zgodbe, a tega v resnici ni. Ogromna luknja v internetu je pustila izpostavljen promet dolga leta. Nihče ne ve, ali je bil izkoriščen. Industrija to popravlja. Ničesar ne moreš storiti.
Ne, to ni ravno takšna tehnološka moč, ki smo jo ljubitelji pri reviji PC Magazine, vendar se bomo morda morali navaditi na to zgodbo. Lahko se ponovi.
V veliko lažji opombi v tej številki testiramo in pregledamo dva odlična pametna telefona. HTC One (M8) zasluži visoke ocene za kakovost izdelave in prefinjenost. Galaxy S5 nadaljuje tradicijo Samsunga, ki nalaga svoje vodilne telefone z vsemi možnimi funkcijami. Oba sta izjemna telefona; ki vam je bolj všeč, je stvar osebnega okusa, vendar vam lahko naša ocena pomaga pri izbiri.
Dobra novica je, da oba telefona delujeta z najnovejšo različico Androida, različico 4.4. Sem omenil, da je več kot 90 milijonov naprav Android 4.1 še vedno ranljivo za Heartbleed in najbrž ne bodo nikoli dobili posodobitev?
Morda je čas za nadgradnjo.
Oglejte si vse fotografije v galeriji
