Video: Heartbleed Exploit - Discovery & Exploitation (Studeni 2024)
Naša priča iz travnja s naslovom "Ostanite anonimni online" pokrenula je puno prodaje i više nego malo polemike. U svijetu u kojem nas neprestano prate trgovci, pružatelji internetskih usluga, robne marke, prijatelji, NSA i da, čak i izdavači, ispada da pripadnici američke javnosti očajnički štite posljednje dragocjene detalje iz svog privatnog života. Naš je savjet bio čvrst i koristan. A onda je Heartbleed sve to pokvario.
Srčano srce, kao što vjerojatno do sada znate, je najveća rupa ikad pronađena u temeljnoj infrastrukturi Interneta. Ono malo zaključavanje u gornjem desnom kutu preglednika, koje nam stručnjaci stalno govore, da tražite, onu koja znači da ste uspostavili sigurnu vezu? Ispada da je slomljen od 2011. godine.
Da budemo jasni, Heartbleed nije "virus", kako ga je nedavno opisao jedan nesretni domaćin za Nacionalni javni radio. To je ranjivost u OpenSSL-u, koji je protokol šifriranja otvorenog koda koji uspostavlja sigurnu vezu između klijenta i poslužitelja. Pogrešnim predstavljanjem podataka koji putuju između dva sustava, informacije se mogu prikupljati iz memorije jednog ili oba.
Heartbleed je uzrokovala jednostavna pogreška kodiranja koju je napravio njemački programer u novogodišnjoj noći 2011. Nitko ga nije uhvatio. Umjesto toga, ako ga netko uhvati, nije rekao ništa, što bi moglo biti još zastrašujuće.
Možda ne mislite da upotrebljavate OpenSLL, ali jeste. Koristi ga dvije trećine svih web stranica. Banke, tražilice, mrežni prodavači, pa čak i povezani kućanski uređaji koriste protokol. OpenSSL podrška ugrađena je u puno mrežnog hardvera i može je koristiti čak i sam VPN klijent o kojem vaša tvrtka ovisi radi zaštite svojih unutarnjih sustava.
Izložene informacije mogu biti išta što ostaje u memoriji vašeg sustava, pa bi bilo potrebno prosijati da bi se pronašle vrijedne stvari. Shvaćati to ne bi bilo trivijalno, ali moguće je. Lozinke, brojevi socijalnog osiguranja, e-poruke, dokumenti - svi bi oni mogli biti ugroženi. Ako bi netko htio presresti informacije na "sigurnoj" vezi, to bi mogao učiniti.
Što je još gore, ne možete mnogo učiniti da se zaštitite. Sve pogođene stranice i usluge uvode novu zakrpanu verziju OpenSSL-a, ali dok to ne učine, nema pravog razloga za promjenu zaporki. Još važnije, ako bilo tko ima kolekciju postojećeg mrežnog prometa iz ere Heartbleed-a, ne postoji ništa što ih sprečava da koriste ranjivost Heartbleed-a za dešifriranje tog skupa podataka. Šteta se ne može poništiti.
Čini se da bi trebalo biti još priče, ali stvarno nema. Masivna rupa u internetu ostavila je izložen promet godinama. Nitko ne zna je li iskorištavan. Industrija to popravlja. Ništa ne možete učiniti.
Ne, ovo nije baš takvo tehnološko osnaživanje koje smo obožavatelji ovdje u PC Magazinu, ali možda ćemo se morati naviknuti na ovu priču. Može se ponoviti.
Uz mnogo blažu notu, mi u ovom broju testiramo i pregledavamo dva izvrsna pametna telefona. HTC One (M8) zarađuje visoke ocjene za svoju kvalitetu izrade i sofisticiranost. Galaxy S5 ima Samsungovu tradiciju punjenja svojih flagship telefona uz svako zamislivo svojstvo. Oboje su izvanredni telefoni; koji više volite je stvar osobnog ukusa, ali naš pregled vam može pomoći u izboru.
Dobra vijest je da oba telefona imaju najnoviju verziju Androida, verziju 4.4. Jesam li spomenuo da je više od 90 milijuna Android 4.1 uređaja i dalje osjetljivo na Heartbleed i vjerojatno nikad neće dobiti ažuriranja?
Možda je vrijeme za nadogradnju.
POGLEDAJTE SVE FOTOGRAFIJE U GALERIJI
