Video: From Missingno to Heartbleed: Buffer Exploits and Buffer Overflows (Oktober 2024)
Vores aprilomslag "Stay Anonymous Online" kørte meget salg og mere end lidt kontrovers. I en verden, hvor vi konstant spores af detailhandlere, internetudbydere, mærker, venner, NSA og ja, endda udgivere, viser det sig, at medlemmerne af den amerikanske offentlighed er desperate efter at beskytte de sidste dyrebare detaljer i deres private liv. Vores råd var solide og nyttige. Og så fik Heartbleed det hele.
Som du sandsynligvis ved nu, er det største hul nogensinde fundet i den grundlæggende infrastruktur på Internettet. Den lille lås i øverste højre hjørne af din browser, som vi tekniske fyre fortæller dig om at kigge efter, den der betyder, at du har oprettet en sikker forbindelse? Det viser sig, at det er blevet brudt siden 2011.
For at være klar er Heartbleed ikke en "virus", som en clueless vært for National Public Radio for nylig beskrev det. Det er en sårbarhed i OpenSSL, som er en open source-krypteringsprotokol, der opretter en sikker forbindelse mellem en klient og en server. Ved at fejlagtigt repræsentere de data, der rejser mellem de to systemer, kan oplysninger indhentes fra hukommelsen til det ene eller begge.
Heartbleed blev forårsaget af en simpel kodningsfejl foretaget af en tysk programmør på nytårsaften 2011. Ingen fangede den. I stedet for, hvis nogen fangede det, sagde de ikke noget, hvilket kan være endnu skremmere.
Du tror måske ikke, at du bruger OpenSLL, men det gør du. Det bruges af to tredjedele af alle websteder. Banker, søgemaskiner, online detailhandlere og endda tilsluttede husholdningsapparater bruger protokollen. OpenSSL-support er indbygget i en masse netværkshardware, og den kan endda bruges af den meget VPN-klient, som din virksomhed er afhængig af for at sikre sine interne systemer.
De eksponerede oplysninger kan være alt, der findes i din systemhukommelse, så det vil tage nogle sigtning at finde de værdifulde ting. At give mening om det ville ikke være trivielt, men det er muligt. Adgangskoder, personnummer, e-mails, dokumenter - alle af dem kunne være sårbare. Hvis nogen ønskede at opfange oplysninger om en "sikker" forbindelse, kunne de gøre det.
Værre er, at der ikke er meget, du kan gøre for at beskytte dig selv. Alle de berørte websteder og tjenester udruller en ny programrettet version af OpenSSL, men indtil de gør det, er der ingen reel grund til at ændre dine adgangskoder. Mere vigtigt, hvis nogen har en samling af eksisterende netværkstrafik fra Heartbleed-æraen, er der intet til at forhindre dem i at bruge Heartbleed-sårbarheden til at dekryptere det datasæt. Skaden kan ikke fjernes.
Det ser ud til, at der skulle være mere til historien, men der er virkelig ikke det. Et massivt hul på Internettet efterlod trafik eksponeret i årevis. Ingen ved, om det blev udnyttet. Branchen løser det. Der er intet, du kan gøre.
Nej, dette er ikke nøjagtigt den slags teknologiske empowerment, vi er fans af her på PC Magazine, men vi bliver muligvis nødt til at vænne os til denne historie. Det kunne ske igen.
På en meget lettere note tester og gennemgår vi to fremragende smartphones i dette nummer. HTC One (M8) tjener høje mærker for sin byggekvalitet og sofistikering. Galaxy S5 viderefører Samsungs tradition for at indlæse sine flagskibstelefoner med alle tænkelige funktioner. De er begge fremragende telefoner; som du foretrækker er lige så meget et spørgsmål om personlig smag, men vores gennemgang kan hjælpe dig med at træffe valget.
Den gode nyhed er, at begge telefoner kører den nyeste version af Android, version 4.4. Nævnte jeg, at mere end 90 millioner Android 4.1-enheder stadig er sårbare over for Heartbleed og sandsynligvis aldrig vil få opdateringer?
Det kan være tid til en opgradering.
VIS ALLE BILLEDER I GALLERI
