Відео: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Вересень 2024)
Наша квітнева обкладинка "Залишайтесь анонімним в Інтернеті" призвела до багатьох продажів і більше, ніж трохи суперечок. У світі, де нас постійно відслідковують роздрібні торговці, Інтернет-провайдери, бренди, друзі, АНБ та так, навіть видавці, виявляється, що члени американської громадськості відчайдушно захищають останні дорогоцінні деталі свого приватного життя. Наша порада була міцною та корисною. І тоді Heartbleed зробив це суперечливо.
Heartbleed, як ви, мабуть, знаєте дотепер, це найбільша діра, що коли-небудь знайдена у фундаментальній інфраструктурі Інтернету. Той маленький замок у правому верхньому куті веб-переглядача, який ми, технічні хлопці, постійно повідомляємо шукати, той, що означає, що ви встановили безпечне з'єднання? Виявляється, його зламали з 2011 року.
Щоб було зрозуміло, Heartbleed - це не "вірус", як нещодавно його описав один неосвічений господар Національного громадського радіо. Це вразливість у OpenSSL - протокол шифрування з відкритим кодом, який встановлює захищене з'єднання між клієнтом та сервером. Помилково представляючи дані, що пересуваються між двома системами, інформація може бути захоплена з пам'яті однієї або обох.
Heartbleed була викликана простою помилкою кодування, допущеною німецьким програмістом у новорічну ніч 2011 року. Швидше, якщо хтось це спіймав, вони нічого не сказали, що може бути навіть страшніше.
Ви можете не вважати, що використовуєте OpenSLL, але це так. Його використовують дві третини всіх веб-сайтів. Банки, пошукові системи, інтернет-магазини та навіть підключена побутова техніка використовують протокол. Підтримка OpenSSL вбудована в безліч мережних апаратних засобів, і може використовуватись навіть самим клієнтом VPN, від якого залежить ваша компанія для захисту своїх внутрішніх систем.
Викрита інформація може бути будь-якою, що зберігається у вашій системній пам’яті, тому знадобиться певна просіювання, щоб знайти цінні речі. Зрозуміти це було б не банально, але можливо. Паролі, номери соціального страхування, електронні листи, документи - всі вони можуть бути вразливими. Якщо хтось хотів перехопити інформацію про "безпечне" з'єднання, він міг це зробити.
Гірше, що ви не можете багато зробити, щоб захистити себе. Усі постраждалі сайти та служби впроваджують нову виправлену версію OpenSSL, але поки вони не стануть, немає реальної причини змінювати ваші паролі. Що ще важливіше, якщо хтось має колекцію існуючого мережевого трафіку з епохи Heartbleed, нічого не може утримати їх від використання вразливості Heartbleed для дешифрування цього набору даних. Пошкодження не можна скасувати.
Здається, до розповіді повинно бути більше, але насправді цього немає. Масова діра в Інтернеті залишала відкритий трафік роками. Ніхто не знає, чи його експлуатували. Галузь це фіксує. Ви нічого не можете зробити.
Ні, це не зовсім той тип технологічного розширення можливостей, яким ми є шанувальники у нас у журналі PC, але, можливо, нам доведеться звикнути до цієї історії. Це може повторитися.
Набагато легше, ми тестуємо та переглядаємо два чудові смартфони у цьому випуску. HTC One (M8) заробляє високі оцінки за якість складання та вишуканість. Galaxy S5 продовжує традицію Samsung завантажувати свої флагманські телефони з усіма можливими функціями. Вони обидва видатні телефони; який ви віддаєте перевагу - це питання особистого смаку, але наш огляд може допомогти вам зробити вибір.
Хороша новина полягає в тому, що на обох телефонах працює остання версія Android, версія 4.4. Чи згадував я, що понад 90 мільйонів пристроїв Android 4.1 все ще вразливі до Heartbleed і, ймовірно, ніколи не отримуватимуть оновлень?
Може бути час для оновлення.
ГОЛОВНЕ ВСІ ФОТО В ГАЛЕРЕЇ
