Video: Heartbleed Exploit - Discovery & Exploitation (Listopad 2024)
Náš dubnový titulní příběh „Zůstaňte anonymní online“ vedl hodně prodejů a více než trochu kontroverze. Ve světě, kde nás neustále sledují maloobchodníci, poskytovatelé internetových služeb, značky, přátelé, NSA, a ano, dokonce i vydavatelé, se ukázalo, že členové americké veřejnosti se zoufale snaží chránit poslední vzácné podrobnosti svého soukromého života. Naše rada byla solidní a užitečná. A pak to Heartbleed udělala vše.
Heartbleed, jak už asi víte, je největší díra v základní infrastruktuře internetu. Ten malý zámek v pravém horním rohu vašeho prohlížeče, který vám my technici neustále říkáme, abyste hledali, ten, který znamená, že jste vytvořili zabezpečené připojení? Ukazuje se, že je od roku 2011 zlomený.
Jasně řečeno, Heartbleed není „virus“, jak jej nedávno popsal jeden bezradný hostitel Národního rozhlasu. Jedná se o chybu zabezpečení v OpenSSL, což je šifrovací protokol s otevřeným zdrojovým kódem, který vytváří bezpečné spojení mezi klientem a serverem. Tím, že zkreslíte data, která se pohybují mezi dvěma systémy, lze informace zachytit z paměti jednoho nebo obou.
Heartbleed byl způsoben jednoduchou chybou kódování, kterou na Silvestra 2011 udělal německý programátor. Nikdo ho nezachytil. Spíše, kdyby to někdo chytil, neřekli nic, což by mohlo být dokonce děsivější.
Možná si nemyslíte, že používáte OpenSLL, ale ano. Používají ho dvě třetiny všech webových stránek. Protokol používají banky, vyhledávače, online prodejci a dokonce i připojené domácí spotřebiče. Podpora OpenSSL je zabudována do mnoha síťových hardwarů a může ji používat i samotný klient VPN, na kterém vaše společnost závisí, aby zajistila své interní systémy.
Vystavené informace by mohly být cokoli, co by se nacházelo ve vaší systémové paměti, takže nalezení hodnotných věcí by vyžadovalo nějaké prosévání. Rozumět tomu nebude triviální, ale je to možné. Hesla, čísla sociálního zabezpečení, e-maily, dokumenty - všechny by mohly být zranitelné. Pokud někdo chtěl zachytit informace o „bezpečném“ připojení, mohl by to udělat.
Horší je, že toho, co můžete udělat, abyste se chránili. Všechny postižené weby a služby jsou zaváděny do nové opravené verze OpenSSL, ale dokud ne, není skutečný důvod ke změně vašich hesel. Ještě důležitější je, že pokud má někdo sbírku stávajícího síťového provozu z doby Heartbleed, není nic, co by mu bránilo používat zranitelnost Heartbleed k dešifrování této sady dat. Poškození nelze vrátit.
Vypadá to, že by příběhu mělo být více, ale ve skutečnosti tomu tak není. Masivní díra na internetu nechala provoz vystavený po celá léta. Nikdo neví, jestli byl zneužit. Odvětví to opravuje. Nemůžete nic dělat.
Ne, nejedná se přesně o druh technologického zplnomocnění, které jsme tady v PC Magazine fanoušci, ale možná si budeme muset na tento příběh zvyknout. Může se to stát znovu.
V mnohem lehčí poznámce v tomto čísle otestujeme a zkontrolujeme dva vynikající smartphony. HTC One (M8) získává vysoké známky za svou kvalitu sestavení a sofistikovanost. Galaxy S5 navazuje na tradici společnosti Samsung načítat své vlajkové lodě s každou představitelnou funkcí. Oba jsou vynikající telefony; které dáváte přednost, je otázkou osobní chuti, ale naše recenze vám může pomoci při výběru.
Dobrou zprávou je, že oba telefony používají nejnovější verzi systému Android, verze 4.4. Zmínil jsem se, že více než 90 milionů zařízení Android 4.1 je stále zranitelných vůči Heartbleed a pravděpodobně nikdy nedostanou aktualizace?
Možná je čas na upgrade.
ZOBRAZIT VŠECHNY FOTOGRAFIE V GALÉRII
