Ένα από τα πιο γνωστά τρωτά σημεία στα μέσα της δεκαετίας του 2010 ονομαζόταν «Heartbleed». Το Heartbleed ήταν ιδιαίτερα σοβαρό επειδή το λογισμικό που επηρέασε το «OpenSSL», την κύρια κρυπτογραφική βιβλιοθήκη για συνδέσεις HTTPS, οι οποίες χρησιμοποιούνται ευρέως. Για να γίνουν τα πράγματα χειρότερα, η ευπάθεια υπήρχε στο OpenSSL για περισσότερα από δύο χρόνια προτού ανακαλυφθεί, δημοσιοποιηθεί και διορθωθεί, πράγμα που σήμαινε ότι πολλοί άνθρωποι χρησιμοποιούσαν μια ευάλωτη έκδοση.
Το Heartbleed ήταν μια ευπάθεια διαρροής δεδομένων στην επέκταση του καρδιακού παλμού, η οποία όταν εκμεταλλευόταν διέρρευσε δεδομένα από τη μνήμη RAM από τον διακομιστή στον πελάτη. Η επέκταση καρδιακού παλμού χρησιμοποιείται για τη διατήρηση μιας σύνδεσης μεταξύ του διακομιστή web και του προγράμματος-πελάτη χωρίς να υποβάλετε ένα κανονικό αίτημα σελίδας.
Στην περίπτωση του OpenSSL, ο πελάτης στέλνει ένα μήνυμα στον διακομιστή και ενημερώνει τον διακομιστή για το μήκος του μηνύματος, έως 64 KB. Στη συνέχεια, ο διακομιστής υποτίθεται ότι θα επαναλάβει το ίδιο μήνυμα. Το κρίσιμο, ωστόσο, είναι ότι ο διακομιστής στην πραγματικότητα δεν έλεγξε ότι το μήνυμα ήταν τόσο μεγάλο όσο ισχυρίστηκε ο πελάτης. Αυτό σήμαινε ότι ένας πελάτης μπορούσε να στείλει ένα μήνυμα 10 KB, να ισχυριστεί ότι ήταν 64 KB και να λάβει μια απάντηση 64 KB, με τα επιπλέον 54 KB να αποτελούνται από τα επόμενα 54 KB μνήμης RAM, ανεξάρτητα από τα δεδομένα που ήταν αποθηκευμένα εκεί. Αυτή η διαδικασία απεικονίζεται καλά από το κόμικ XKCD #1354 .
Η εικόνα είναι ευγενική προσφορά του xkcd.com .
Κάνοντας πολλά αιτήματα μικρών καρδιακών παλμών και ισχυριζόμενος ότι ήταν μεγάλα, ένας εισβολέας θα μπορούσε να δημιουργήσει μια εικόνα του μεγαλύτερου μέρους της μνήμης RAM του διακομιστή συνδυάζοντας τις απαντήσεις μεταξύ τους. Τα δεδομένα που είναι αποθηκευμένα στη μνήμη RAM που θα μπορούσαν να διαρρεύσουν περιλαμβάνουν κλειδιά κρυπτογράφησης, πιστοποιητικά HTTPS, καθώς και μη κρυπτογραφημένα δεδομένα POST, όπως ονόματα χρήστη και κωδικούς πρόσβασης.
Σημείωση: Είναι λιγότερο γνωστό, αλλά το πρωτόκολλο καρδιακών παλμών και το exploit λειτούργησαν επίσης προς την άλλη κατεύθυνση. Ένας κακόβουλος διακομιστής θα μπορούσε να έχει ρυθμιστεί ώστε να διαβάζει έως και 64 KB μνήμης χρήστη ανά αίτημα καρδιακού παλμού.
Το ζήτημα ανακαλύφθηκε από πολλούς ερευνητές ασφάλειας ανεξάρτητα την 1η Απριλίου 2014 και αποκαλύφθηκε ιδιωτικά στο OpenSSL, ώστε να μπορέσει να δημιουργηθεί μια ενημέρωση κώδικα. Το σφάλμα δημοσιοποιήθηκε όταν η ενημερωμένη έκδοση κώδικα κυκλοφόρησε στις 7 Απριλίου 2014. Η καλύτερη λύση για την επίλυση του προβλήματος ήταν η εφαρμογή της ενημέρωσης κώδικα, αλλά ήταν επίσης δυνατό να αποκατασταθεί το πρόβλημα απενεργοποιώντας την επέκταση καρδιακού παλμού, εάν η άμεση ενημέρωση κώδικα δεν ήταν επιλογή.
Δυστυχώς, παρά το γεγονός ότι το exploit είναι δημόσιο και γενικά γνωστό, πολλοί ιστότοποι εξακολουθούν να μην ενημερώνονται αμέσως, με την ευπάθεια να εξακολουθεί να εντοπίζεται περιστασιακά ακόμη και χρόνια αργότερα. Αυτό οδήγησε σε ορισμένες περιπτώσεις χρήσης του exploit για την απόκτηση πρόσβασης σε λογαριασμούς ή για τη διαρροή δεδομένων.
Όταν ενεργοποιήσετε το ποσοστό μπαταρίας στο τηλέφωνό σας Android, γνωρίζετε πόση μπαταρία απομένει. Δείτε πώς να το ενεργοποιήσετε εύκολα.
Το WhatsApp Web δεν λειτουργεί; Μην ανησυχείτε. Ακολουθούν ορισμένες χρήσιμες συμβουλές που μπορείτε να δοκιμάσετε για να λειτουργήσει ξανά το WhatsApp.
Μάθετε πώς να επιταχύνετε τον χρόνο που περνάτε εργάζεστε σε αρχεία PowerPoint μαθαίνοντας αυτές τις σημαντικές συντομεύσεις πληκτρολογίου.
Αν δεν είστε βέβαιοι για τις εμφανίσεις, την εμβέλεια και τη συμμετοχή στο Facebook, συνεχίστε να διαβάζετε για να μάθετε. Δείτε αυτή την εύκολη εξήγηση.
Αν αναρωτιέστε τι είναι αυτή η λέξη-κλειδί υπολογισμός ομίχλης στον τομέα της υπολογιστικής νέφους, τότε βρίσκεστε στο σωστό μέρος. Διαβάστε για να μάθετε περισσότερα!
Επαναφέρετε τα εικονίδια της αρχικής οθόνης στο iPad σας και ξεκινήστε ξανά για να οργανώσετε τα εικονίδια σας με πιο εύκολο τρόπο. Ακολουθήστε τα εύκολα βήματα που αναφέρονται εδώ.
Γνωρίζοντας πώς να αλλάξετε τις ρυθμίσεις απορρήτου του Facebook σε τηλεφώνου ή tablet, θα διευκολύνει τη διαχείριση του λογαριασμού σας.
Αλλάξτε την προεπιλεγμένη μηχανή αναζήτησης στο Opera για Android και απολαύστε τις προτιμώμενες επιλογές σας. Ανακαλύψτε τον γρηγορότερο τρόπο. Αλλάξτε την προεπιλεγμένη μηχανή αναζήτησης που χρησιμοποιεί ο περιηγητής Opera για Android με αυτά τα εύκολα βήματα.
Δείτε ποιά βήματα να ακολουθήσετε για να απενεργοποιήσετε τον Google Assistant και να αποκτήσετε κάποια ηρεμία. Νιώστε λιγότερο παρακολουθούμενοι και απενεργοποιήστε τον Google Assistant.
Εάν θέλετε απλά να ζητήσετε από φίλους συστάσεις για μια συγκεκριμένη δραστηριότητα, μεταβείτε στο "Τι σκέφτεστε;" και πληκτρολογήστε την ερώτησή σας.
