Vídeo: Heartbleed Exploit - Discovery & Exploitation (Setembre 2024)
La història de la portada d'abril, "Resta anònim en línia", va provocar moltes vendes i una mica de controvèrsia. En un món on se’ns fa un seguiment constant per minoristes, fabricants d'Internet, marques, amics, la NSA, i sí, fins i tot els editors, resulta que els membres del públic nord-americà estan desesperats per protegir els últims detalls preciosos de la seva vida privada. Els nostres consells van ser sòlids i útils. I aleshores Heartbleed va fer que tot es molestés.
Desconcertant, com probablement ja sabeu, és el forat més gran que s’ha trobat mai a la infraestructura fonamental d’Internet. El petit bloqueig que hi ha a l'extrem superior dret del navegador que els tècnics segueixen dient que busqueu, el que vol dir que heu establert una connexió segura? Resulta que està desglossat des del 2011.
Per dir-ho clar, Heartbleed no és un "virus", com recentment ho va descriure un amfitrió despistat de la ràdio pública nacional. És una vulnerabilitat en OpenSSL, que és un protocol de xifratge de codi obert que estableix una connexió segura entre un client i un servidor. En representar erròniament les dades que viatgen entre els dos sistemes, es pot capturar informació de la memòria d’un o dels dos.
Heartbleed va ser causada per un simple error de codificació comès per un programador alemany la nit de Cap d'Any del 2011. Ningú no el va agafar. Més aviat, si algú la va atrapar, no van dir res, que pot ser encara més espantós.
És possible que no pensis que utilitzeu OpenSLL, però que sí. Les dues terceres parts de tots els llocs web l'utilitzen. Els bancs, motors de cerca, comerciants en línia i fins i tot electrodomèstics connectats fan servir el protocol. El suport OpenSSL està integrat en un munt de maquinari de xarxa i fins i tot el client VPN de la qual depèn la vostra empresa depèn dels sistemes interns.
La informació exposada pot ser qualsevol cosa que es trobi a la memòria del sistema, de manera que caldria una mica de selecció per trobar coses valuoses. Tenir sentit a sobre no seria trivial, però és possible. Contrasenyes, números de Seguretat Social, correus electrònics, documents, tots ells podrien ser vulnerables. Si algú volgués interceptar informació sobre una connexió "segura", podria fer-ho.
Pitjor, no es pot fer molt per protegir-se. Tots els llocs i serveis afectats estan publicant una nova versió pegada d'OpenSSL, però fins a fer-ho no hi ha cap motiu real per canviar les contrasenyes. Més important, si algú té una col·lecció de trànsit de xarxa existent de l’era Heartbleed, no hi ha res que els impedeixi utilitzar la vulnerabilitat Heartbleed per desxifrar el conjunt de dades. El dany no es pot reparar.
Sembla que hi hauria d’haver més coses a la història, però realment no n’hi ha. Un forat massiu a Internet va deixar exposat el trànsit durant anys. Ningú sap si es va explotar. La indústria ho està arreglant. No pots fer res.
No, aquest no és exactament el tipus d’apoderament tecnològic per què som fans aquí a PC Magazine, però potser haurem d’acostumar-nos a aquesta història. Podria tornar a passar.
Amb una nota molt més lleugera, testem i revisem dos telèfons intel·ligents excel·lents en aquest número. El HTC One (M8) obté grans notes per la seva qualitat i sofisticació. El Galaxy S5 segueix la tradició de Samsung de carregar els seus telèfons emblemàtics amb totes les funcions imaginables. Tots dos són telèfons destacats; que preferiu és molt de gust personal, però la nostra revisió us pot ajudar a prendre la decisió.
La bona notícia és que ambdós telèfons utilitzen la versió més recent d'Android, la versió 4.4. Vaig esmentar que més de 90 milions de dispositius Android 4.1 segueixen sent vulnerables a Heartbleed i probablement mai rebran actualitzacions?
Podria ser el moment per a una actualització.
VEURE TOTES LES FOTOS DE GALERIA
