Video: Spell upang hindi na siya makakita ng tunay na pag-ibig pagkatapos ka niyang saktan at iwan (Nobyembre 2024)
Noong Abril, nalaman namin na ang isang bug sa sikat na OpenSSL code library ay maaaring payagan ang mga umaatake na mag-scoop up ng memorya mula sa sinasabing ligtas na mga server, potensyal na nakukuha ang mga kredensyal sa pag-login, pribadong mga susi, at marami pa. Nai-post na "Puso", ang bug na ito ay umiiral nang maraming taon bago natuklasan. Karamihan sa mga talakayan ng bug na ito ay ipinapalagay na gagamitin ito ng mga hacker laban sa mga secure na server. Gayunpaman, ipinapakita ng isang bagong ulat na madali itong mapagsamantala sa parehong mga server at mga endpoints na tumatakbo sa Linux at Android.
Si Luis Grangeia, isang mananaliksik sa SysValue, ay lumikha ng isang library ng proof-of-concept code na tinawag niyang "Cupid." Ang Cupid ay binubuo ng dalawang mga patch sa umiiral na mga aklatan ng code ng Linux. Pinapayagan ng isa ang isang "masamang server" upang samantalahin ang Heartbleed sa mahina laban sa mga kliyente ng Linux at Android, habang ang iba pa ay pinapayagan ang isang "masamang kliyente" na atake sa mga server ng Linux. Grangeia ginawa ang mapagkukunan code malayang magagamit, sa pag-asa na ang iba pang mga mananaliksik ay sumali upang malaman ang higit pa tungkol sa kung anong uri ng pag-atake ay posible.
Hindi Lahat Masisigaw
Partikular na gumagana si Cupid laban sa mga wireless network na gumagamit ng Extensible Authentication Protocol (EAP). Ang iyong wireless na router sa bahay ay halos tiyak na hindi gumagamit ng EAP, ngunit ginagawa ng karamihan sa mga solusyon sa antas ng Enterprise. Ayon kay Grangeia, kahit na ang ilang mga wired network ay gumagamit ng EAP at samakatuwid ay masugatan.
Ang isang system na naka-patch sa Cupid code ay may tatlong mga pagkakataon upang makuha ang data mula sa memorya ng biktima. Maaari itong atakehin bago ang ligtas na koneksyon ay ginawa kahit na, na kung saan ay medyo nakababahala. Maaari itong atakein pagkatapos ng handshake na nagtatatag ng seguridad. O maaari itong atakein pagkatapos maibahagi ang data ng aplikasyon.
Tulad ng para sa kung ano ang maaaring makuha ng isang kagamitan na may Cupid, si Grangeia ay hindi lubos na tinutukoy na, bagaman "ang pag-iinspeksyon ng cursory ay natagpuan ang mga kagiliw-giliw na bagay sa parehong mga mahina na kliyente at server." Kung ang "kawili-wiling bagay na" ay maaaring magsama ng mga pribadong key o mga kredensyal ng gumagamit ay hindi pa nalalaman. Bahagi ng dahilan ng paglabas ng source code ay upang makakuha ng mas maraming talino na nagtatrabaho sa pagtuklas ng mga naturang detalye.
Anong pwede mong gawin?
Parehong gumagamit ng Android 4.1.0 at 4.1.1 ang isang mahina na bersyon ng OpenSSL. Ayon sa isang ulat mula sa Bluebox, ang mga huling bersyon ay technically mahina, ngunit ang sistema ng pagmemensahe ng tibok ng puso ay hindi pinagana, na walang nagbibigay ng Heartbleed upang samantalahin.
Kung ang iyong Android aparato ay tumatakbo 4.1.0 o 4.1.1, mag-upgrade kung maaari. Kung hindi, pinapayuhan ni Grangeia na "dapat mong iwasan ang pagkonekta sa hindi kilalang mga wireless network maliban kung mai-upgrade mo ang iyong ROM."
Ang mga sistema ng Linux na kumonekta sa pamamagitan ng wireless ay mahina laban maliban kung ang OpenSSL ay naka-patched. Ang mga gumagamit ng naturang mga sistema ay dapat i-double-check upang matiyak na ang patch ay nasa lugar.
Tulad ng para sa mga corporate network na gumagamit ng EAP, iminumungkahi ni Grangeia na makuha nila ang system na sinubukan ng SysValue o ibang ahensya.
Ang mga aparato ng Mac, Windows box, at iOS ay hindi apektado. Para sa isang beses, ito ay ang Linux na nasa problema. Maaari mong basahin ang buong post ni Grangeia dito o tingnan ang isang pagtatanghal ng slideshow dito. Kung ikaw ay isang mananaliksik sa iyong sarili, maaaring gusto mong kunin ang code at gumawa ng kaunting eksperimento.
