|
心脏出血[编辑]
基本情况:
心脏出血,英文heartbleed,OpenSSL安全漏洞,该漏洞可导致攻击者获得服务器上64K内存中数据。这一漏洞让任何人都能读取系统的运行内存。已经有了一个紧急补丁,在安装它之前,成千上万的服务器都处于危险之中。
历程:
发迹于2014年4月7日,国外程序员发现该漏洞。2014年4月8日,黑客白帽开始一场入侵与防入侵的战斗,2014年4月9日,一位安全人士通过该漏洞尝试读取数据,成功获取用户信息。
入侵技术:
SSL(安全套接层)协议是使用最为普遍网站加密技术,而OpenSSL则是开源的SSL套件,为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。
Heartbleed漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL1.0.2-beta与OpenSSL1.0.1在处理TLSheartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。
影响:
通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。
由于使用OpenSSL的互联网企业众多,受影响的企业也很多,使用ZoomEye系统扫描发现在中国大约有33303台机器OpenSSL漏洞影响,而比这更令人惊心的是,这些设备多为银行网银,第三方支付,电商网站,即时通讯系统。
“心脏出血”漏洞的严重性远比想象的严重,一些用户没有考虑到手机上大量应用也需要账号登陆,其登陆服务也有很多是OpenSSL搭建的,因此用户在这阶段用手机登陆过网银或进行过网购,则需要在漏洞得到修补后,更改自己的密码。等。
因此心脏出血该漏洞对网上交易产生极大的威胁。
涉及中国:
ZoomEye系统的扫描:根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响。443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。
自这个漏洞被爆出后,全球的黑客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。这是最危险的地方:黑客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果黑客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
防护:
自漏洞爆出之后,黑客与安全专家开始一场博弈,一边不断探测服务器,收集用户信息,一边不断升级系统,弥补漏洞。
普通用户操作建议
1.不要在受影响的网站上登录帐号——除非确信该公司已经修补了这一漏洞。如果该公司没有通告相关进展,可以询问他们的客服团队。
一些网站(包括雅虎和OKCupid)受了影响但表示他们已经解决了全部或部分问题,如果不放心,可以在Filippo网站上查看各个网站安全与否,如果被标为红色就暂时不要登录。
很多人的第一反应是赶快修改密码,但是网络安全专家的建议是等到网站确认修复再说。
2.一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),推荐修改密码。
3.不要不好意思联系掌握个人的数据的小企业以确保个人信息安全。雅虎和Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,所以个人要积极主动地维护个人信息安全。
4.密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。
但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。
自xp停止服务以来,心脏出血又一次将网络安全推向了公众的视线,网络安全越来越影响更多人的隐私问题,加强网络安全的防护已经刻不容缓。
。</p>
| 
收藏
