Heartbleed

7 文章

2014年安全领域十大推文

去年一整年,IT安全领域可谓纷繁复杂。众多安全事件不断接踵而至:从影响全球数百万台计算机的全球性漏洞到与本地网络犯罪分子的终极对决。几乎每一个事件在某种程度上都与社交网络有关–自从推特开始播报新闻以后,尤其成为了”重灾区”。为此,我们专门为您收集了2014年与IT安全领域有关的十大推文。 1. 2014年3月,一名’Pump Water Reboot’黑客小组成员针对多家俄罗斯网络服务发动了一系列DDoS(分布式拒绝服务)攻击—受害者包括多个在线社区和数家银行。每一个受害者被要求支付1000美元赎金以停止攻击。 在这片推文中写道,该网络犯罪分子还对在线专业银行Tinkoff Credit Systems的创始人,俄罗斯银行家Oleg Tinkov进行了威胁。 (从俄语翻译过来:你的网站正在遭受DDoS攻击。我们能为您提供解决问题的方案。如果你愿意支付1000美元的话我们就能停止这一攻击。) 直到去年夏天,这名网络犯罪分子终于被警方抓获,最终在几个月后被判处2年半的监禁并被罚款1200万卢布(约合40万美元)。对于年仅19岁的学生来说的确是一笔巨额罚款,而随后了解到他只是头脑一时发热。 2. Heartbleed漏洞在当时竟然对全球2/3的互联网造成了威胁。你可以从我们的博文中了解更多相关的详细内容。《xkcd》漫画作者将为您提供有关该事件最佳的简略版本: Heartbleed漏洞的影响深远,将在很长一段时间继续萦绕着我们:成千上万存在漏洞的服务器依然没有更新。而且其中许多将永久地处在Heartbleed漏洞的阴影之下。 3. 对我们来说,2014年最佳推文莫过于来自—你绝对不会相信的!—美国中央情报局。很高兴看到即使是这些硬汉都有幽默的一面。 4. 8月中旬,网络黑客事件甚至险些让俄罗斯总理梅德韦杰夫卷入政治风波:有黑客非法入侵(恶搞)他的推特账号。 (俄语翻译过来:我决定辞职。我为俄罗斯政府的行为感到羞耻。对此我非常抱歉。) 与此同时,梅德韦杰夫的其他账号也遭到了黑客入侵。这导致梅德韦杰夫移动设备上的大量私人照片和往来邮件遭到外泄。但随后所有黑客发布的推文都被一一删除。到底发生了什么–该黑客是否被捕了–依然未可知。 5. 就在两周后,又发生了另一起重大的外泄事件:有人将多名好莱坞明星的隐私裸照放到互联网上,其中就有詹妮弗•劳伦斯。 这一外泄事件迅速被冠以’The Fappening’(艳照)之名,并在全世界传播开来。之后,好莱坞明星们不得不加倍警惕,而发布这些艳照的网络服务网站则从广告商那儿获得了巨额利益。流行网站Reddit尤其从中大赚了一笔,足以支持一个月的项目。 6. 多事之秋可谓名副其实。9月,在Bash shell内发现了新的根本性漏洞。现在人们都将其称之为“Bashdoor”或”Shellshock“。这是一年中第二次发现重大漏洞,导致数百万台计算机和大部分服务器遭受病毒感染。发现这个bug的家伙并没有立即发布在他的推特账号上。但随后他发了一些有价值的推文并附带说明:这一漏洞可能最早在25年前(1989年)就已出现。 Bashdoor bug以及上述所提到的Heartbleed漏洞至少将在相当长的一段时间影响着我们。 7.

什么是”Bash”漏洞及其影响甚广的原因

在本周,一种新的互联网bug出现在了Bourne again shell(Bash)内,并似乎是自”OpenSSL Heartbleed漏洞事件“以来影响程度最高的安全漏洞。尽管其真实的危害程度尚不得知,但Bash漏洞已然成为了近期人们热议的话题。就在昨晚的夜新闻中,你甚至还能看到本地的新闻主持人对这一话题的讨论,而节目的背景则是布满一串串快速滚动的计算机代码的绿色屏幕。 什么是Bash? Bash是一种脚本语言和命令行外壳程序,于1989年为GNU计划而编写。Bash能将用户和机器输入命令的解析成系统级命令进行执行。它主要的功能是发出命令和对命令进行解释。如果你想了解更多有关Bash 的知识,请转到GNU Bash页面。 Bash广泛运行于大多数Unix系统和Linux distribution版本以及从Unix和Linux汲取诸多元素的苹果OS X操作系统。此外,在数量众多的Web服务器以及家用电器(包括但不限于路由器、调制解调器以及许多附网设备和其它面向网络的系统)中,也同样能看到Bash的”身影”。 Bash bug最初由Akamai安全公司的Unix和Linux网络与电信管理员Stephane Chazelas所发现。事实上这一漏洞已存在了很长一段时间(或许已超过20年),你可以想象其传播范围之广。与Heartbleed漏洞一样,我们只能期望Chazelas是第一个发现这一bug的人,但真实情况我们永远无法获知。 Bash漏洞是如何对互联网用户进行影响? 过不了多久,互联网上不可避免地会出现将Bash漏洞作为攻击目标的漏洞利用工具。这些漏洞利用工具能够在Bash被呼叫时,使攻击者将恶意执行文件远程附到被执行或解释的代码或脚本碎片上。换句话说,只要拥有一款成功的漏洞利用工具,攻击者就能完全控制受影响的系统。 “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统遭受控制,因此似乎更加危险。” 当被问及Bash bug是否会成为”Heartbleed”第二的时候,我们的卡巴斯基实验全球研究与分析团队(GReAT)的朋友是这样作答的: “相比于此前的Heartbleed漏洞而言,Bash漏洞更易于为网络犯罪分子所利用。此外,Heartbleed漏洞只能让网络犯罪分子有机会从内存中窃取数据,并希望找出一些有价值的信息。相比之下,bash漏洞更易于造成整个系统受到控制,因此似乎更加危险。” 卡巴斯基研究人员推测Bash bug还能被用于窃取银行信息,从而最终导致资金损失。网络攻击者大可利用Bash漏洞通过你的个人电脑窃取登录凭证,但前提需要找到一些漏洞利用载体以访问Bash命令接口。但要真的做起来却并不那么容易。现实中更多的情况是:网络攻击者将你使用最频繁的银行网站作为攻击目标,并同时尝试锁定多个账户及其信息。 从美国计算机紧急事务响应小组所发出的警告似乎最能说明Bash漏洞的严重程度: “该漏洞被行业标准机构评为’高’影响度(CVSS影响分值:10)和’低’复杂程度,这意味着只需一点儿技巧即能执行攻击。该漏洞使得攻击者能够提供精心设计的涵盖任意命令的环境变量,并能在存在漏洞的系统上执行。由于Bash Shell的流行程度以及能以多种方式被应用呼叫,因此危险程度尤其高。” Bash bug在影响程度和漏洞利用复杂程度方面与Heartbleed也有所不同,后者是影响程度高但难以利用,而前者则影响程度高的同时还易于利用。 什么是#Bash漏洞及其影响用户的方式? 如何才能保护自己免受Bash漏洞的影响? 除了永久地远离网络以外,为保护系统安全,你只需要确保在第一时间安装合适的供应商特定更新。至于台式电脑或笔记本电脑上的操作系统,你能做的只是等待管理你特定distribution版本的研发人员发布相关补丁。

如何封堵安卓操作系统”后门”

安卓操作系统与(苹果IOS系统)稳坐”最流行”(hit parade)移动操作系统头两把交椅。首先,这是一种移动操作系统的评级标准。其次,它是用于评定受病毒感染最频繁的移动平台。据卡巴斯基实验室称,超过99%的移动恶意软件是以安卓为攻击目标。Google play上应用的定期检查保障了用户安全,此外,Google还在安卓操作系统本身实施了大量的保护措施。例如,在安装应用时自动启动验证程序,保障软件合法来源的同时,还确保文件没有被陌生人修改。不幸的是,这些保护措施并非无懈可击,使得长期以来恶意软件总有机会通过系统后门”潜入”智能手机内。 后门 就在去年,安全专家们在安卓系统保护机制内发现了多个漏洞。由于这些漏洞的存在,使得恶意应用能够通过将自身伪装成一款流行并信任的服务,或通过”搭载”合法应用(例如:将自己隐藏在合法软件的安装包内)来潜入智能手机。Master Key和FakeID漏洞广泛存在于大多数流行安卓智能手机内,但与著名的Heartbleed漏洞(安卓智能手机一定程度上也深受其害)相比还稍逊一筹,但问题的关键是如何清除这些漏洞。尽管Google很久以前就发布了一些必要的修复补丁,但问题是这些补丁不是由某几家智能手机和平板电脑厂商发布,就是由移动运营商推出,根本无法覆盖所有使用安卓系统的移动设备。一旦有新补丁发布,用户应立即予以安装和更新。但这些厂商或运营商的更新常常姗姗来迟,有时甚至根本无补丁可打。据统计,存在漏洞的设备数量达数百万部之多。 封堵漏洞 要想独自修复这些漏洞难度相当大,但你能做的就是尽量将设备这方面的风险降到最低。具体步骤如下: 1.查看你的智能手机或平板电脑是否存在类似FakeID、Master Key或Heartbleed这样的漏洞。你可以在Google Play下载卡巴斯基实验室免费扫描软件。除了系统本身漏洞外,你还可以检查已安装应用中是否有利用这些漏洞。 2.如果你的设备的确存在漏洞,检查是否有固件(电话软件)需要升级。大部分安卓供应商都在设置中专门设有”检查更新”部分,但有些情况下你不得不访问厂商的官方网站来获得更新。如果有更新的话,按照指示安装并在设备显示p.1的时候再次检查更新。 漏洞能够让恶意应用”潜入”你的安卓智能手机 – 学习如何修复这一漏洞。 3.如果漏洞依然未能解决的话,你可以自己尝试修复,但过程相当繁琐且不太靠谱,因此不太推荐一般用户这样做。(如果你有足够的勇气并深谙计算机知识,那可以访问xda开发者网站阅读更多有关内容。) 4.不能因为智能手机存在未打补丁的漏洞而舍弃不用,但使用时你必须保持警惕以避免金钱损失和数据丢失: 只使用大型官方应用商店(考虑下Google Play) 只下载高人气和评分的应用 控制应用的权限 使用可靠的安卓安全软件。    

一周要闻: Heartbleed依然存在,苹果修复自身加密漏洞

在本周的新闻中,我们仍将讨论OpenSSL和目前令人厌恶的Heartbleed bug;苹果在其移动iOS系统和标准的OSX系统中解决了加密问题;AOL及其客户遭受了一起严重的安全事故;爱荷华州立大学遭到黑客攻击,攻击者试图利用大学的计算资源来挖掘比特币。 “传奇”仍在继续 关于OpenSSL Heartbleed bug影响范围和严重程度方面的讨论一如既往的热烈。其中大多数讨论围绕着数字证书系统的长期前景展开,而数字证书系统则基本涵盖了互联网信任以及加密的功效和所遇到的陷阱。 不过,本周的情况有所不同,至少是与之前几周稍有不同,因为这似乎是公司首次真正开始寻找方法来避免这些bug再次出现。 美国首次出现基于安卓系统的短信木马;追踪OpenSSL Heartbleed病毒的最新消息;苹果修复iOS和OSX系统内漏洞;AOL遭受黑客攻击;以及爱荷华州立大学比特币”挖矿事件”。 一种名为核心基础设施倡议的新协作计划正在汇集资源,以筹集数百万资金,专门用来支持对于Web安全至关重要的开源项目。OpenSSL是第一个作为资金服务对象来考虑的项目,目前主要由Linux基金会、微软、Facebook、亚马逊、戴尔、谷歌以及其他一些著名的高科技公司为此协作计划提供资金。Mozilla公司也正在作出反应,利用高达1万美元的特殊漏洞赏金计划来奖励这样的研究人员:能够在新证书验证库(准备在今年夏天添加到Firefox浏览器的31版本)中发现严重安全漏洞。 苹果修复iOS和OSX系统内的SSL漏洞 在一个类似但完全不相关的说明中,苹果针对在iOS和OSX众多版本中存在的一个严重安全缺陷发布了修复补丁。该漏洞可能使攻击者能够从被认为加密的SSL连接中截取数据。换句话说,这一bug可能会使得攻击者读取消息的内容——无论是短信还是其他敏感信息。 这一bug是苹果公司于周二在其两个主要操作系统中修复的众多bug之一。虽然可能不是很严重,但这些加密漏洞会造成别的后果。因此,如果您正在使用任意一款Mac产品,则建议您前往App Store,尽快安装苹果操作系统更新。 一贯安静的AOL成为了关注焦点 这些天所发生的事情让我对AOL的email供应商市场份额产生了怀疑(相信我,我看过),但是本周确实有数量未知的AOL邮箱用户账号遭到”欺骗”。这些账号一旦被盗,攻击者们或僵尸网络就会开始向被盗用账号上的联系人发送大量垃圾邮件。AOL已证实意识到这是一起黑客事件(尽管AOL并没有称之为”黑客攻击”),但目前尚不清楚有多少用户账号受到影响,也不清楚到底发了多少垃圾邮件。令人奇怪的是,AOL声称邮箱账号被盗可能性不大,并表示这些账号受到愚弄的可能性更大。 正如AOL所提到的,欺骗攻击的方式主要是发送垃圾邮件,这些邮件看似是来自受害者邮箱,但从技术角度来看实则来自攻击者的邮箱账号,并通过攻击者的服务器发送。换句话说,AOL表示没有账号受到大规模的入侵,只不过是攻击者模拟了受害者的账号。这一辩解显然无法解释攻击者如何获得受害者的联系人列表,这意味着随着时间的推移,将有更多的账号被攻击。 美国短信木马 收费短信木马并不是什么新鲜事物。整个诈骗过程是这样的:攻击者强迫受害人将木马下载到自己的移动设备上。木马获得在受感染设备上发送短消息(文本)的能力。之后木马发送短消息到收费服务,该服务或者由攻击人控制,或者由向攻击方付款的一方来控制。之后这些消息的费用将由受感染设备的所有者来支付。 正如我所说的,此类花招已存在多年了。奇怪的是,由于未知的原因,短信木马从未真正在美国散播开来。本周早些时候这一情况发生了改变,我们在Securelist上的朋友发现一个在安卓系统上的木马正在作恶。 似乎仅仅作为首例针对美国安卓用户的收费短信木马还不满足,这款名为”FakeInst”的短信木马还将攻击目标锁定在了其他65个国家的安卓用户。事实上, FakeInst还将来自德国、法国、芬兰、香港、乌克兰、英国、瑞士、阿根廷、西班牙、波兰、加拿大、中国以及更多国家的用户锁定为攻击目标。 黑客入侵爱荷华州立大学的目的是… 比特币!? 你看的没错。美国一所知名的州立大学遭到黑客入侵,其学校计算能力被用于生产比特币。比特币作为一种数字加密货币,其过去一年中的价格起伏不定。如果你有充足的计算机能力,就可使用这一能力来解决算法问题并生成新的比特币。这个过程被称为”挖矿”,在此过程中可赚取大量资金。与所有的网络犯罪类似,所做的一切都是为了追逐金钱。恶意挖矿并不是什么新伎俩,但这一事件让让人感觉新奇的是犯罪分子尽然将目标转到一所知名高校的计算能力上。这还不是全部,该起黑客事件似乎还造成多达3万名爱荷华州立大学学生社会保险号的泄露。

一周要闻:持续关注Heartbleed漏洞事件

与上周一样,Heartbleed大事件仍是安全类新闻的头条。也许我该用整个篇幅来全面概述有关Heartbleed事件的讨论内容,但我不会这么做,因为我想你们可能还希望了解影响外置硬盘知名(时尚)品牌制造商长达一年之久的数据外泄事件;微软的奇怪举动,可能会影响用户安装安全更新;某家搜索巨头的潜在行动计划可能会促进网站搜索优化,使网站做出良好的安全决策;看看终结XP支持对互联网有怎样的影响。 Heartbleed漏洞 如我所说,Heartbleed大事件仍在持续报道中。有可能在之前两周半左右的时间里,你完全没注意过任何相关新闻来源,下面我会对此事件进行扼要概述:Heartbleed是一种加密漏洞,互联网上的任何人都能借助此漏洞来读取通过OpenSSL这种加密实施服务进行保护的机器内存。严重情况下,这块小小的内存中很可能含有用户名、密码,甚至私人加密密钥等敏感信息。要在一条简短的新闻提要中清楚解释整个事件是不可能的,如果您对此事件不是很清楚,请阅读Heartbleed发展概要,文章中进一步分析说明了为什么Heartbleed是一个大事件。如果你对此事件的发展已经很熟悉,请继续阅读本文: 上周末,Heartbleed事态进一步升级,已经从严重但仍认为安全的漏洞过渡到在真实世界攻击中被大肆利用,不断收集真实受害者的信息。一家英国育儿网站Mumsnet被黑客利用Heartbleed漏洞攻击后,被攻击者窃取了存储在该网站上的密码,据报道说攻击者利用这些密码在网站上发布消息。更令人担心的是,攻击者还利用Heartbleed漏洞设法入侵加拿大税务署辖下的系统。在加拿大税务署在使用OpenSSL的补丁版本更新系统之前6小时内,攻击者就盗走了900位市民的社会保险号。 可能导致密码、通信和加密密钥泄露的OpenSSL Heartbleed bug仍是安全行业新闻头条 美国波士顿东北大学的Collin Mulliner发起了一项研究,针对Tor节点随机采样进行检查,根据上周晚些时候发布的报告,Tor匿名化网络中大约有20%的服务器或”出口节点“被发现具有漏洞。 虽然出现了Heartbleed攻击,但概念验证证明,由于事实上存在证书被盗的可能性,而且很多人都知道需要更换可能有漏洞的证书,因此证书撤销和更换潮似乎实际上算不上什么”潮”。简而言之,这些证书可确保所访问的网站正是你要去网站。很大程度上证书在互联网上的信任度非常高。当然,Heartbleed漏洞出现后,证书撤销和更换操作出现井喷,但相对于bug的规模是完全不成比例的。 LaCie长达一年的漏洞 据我同事(每月新闻播客主持人之一)Chris Brook报道,法国计算机硬件公司LaCie(莱斯)本周宣布公司成为数据外泄的受害者,只要去年从公司网站上购买过产品的用户,其敏感信息都面临泄露危险。LaCie最出名的产品可能是彩色外置硬盘。该公司称,攻击者利用一款恶意软件入侵公司在线系统,并利用此软件来盗取客户名称、地址和邮箱地址,此外还包括支付卡信息和卡到期日期。所以,如果你大约在去年直接从LaCie网店买过产品,那么你的信息很可能已外泄,如果情况属实,公司可能已经通知过您相关情况。 微软做出古怪决策;Google搜索算法很可能再造辉煌 微软的行动着实让我想不通,但我想他们肯定有充分的理由这样做。微软最近宣布,不再为运行过时版本的Windows 8.1的用户提供安全更新。要想在未来接收安全更新,客户必须使用最新版本的Windows 8.1更新来更新自己的机器,公司于4月推出此更新版本。 我曾和微软发言人交流过,但他并未详细解释为何公司会做出这一决定。好消息是,微软发言人肯定地指出,此项决定的宣布只会影响很小一部分没有启用自动更新功能的用户。明确地说,就是我们极力推荐启用自动更新,我认为默认情况下大多数商用Windows系统都已启用自动更新。如果您已启用,那么就根本不必有任何担心。如果是手动安装更新,则需要安装4月份的Windows 8.1更新,否则将无法安装微软未来每月发布的补丁。您可自行选择怎样做,但对我来说是完全明摆着的事。 另一方面,有谣言说搜索巨头Google可能会在自己魔法般的搜索算法(至少我是这样认为的)中新增一些算法,此举将极大提高实施加密的网站的搜索结果。《华尔街日报》报道说,此新闻源于该公司搜索算法大师Matt Cutts在一次会议上的发言。Google并未直接否认这些说法,但他们称公司目前对此不置一词。很难说Google是不是会真的考虑增加算法,但无疑这看起来是个不错的主意。 XP的终结? 微软不再对Windows XP提供支持,上个月微软正式发布(终于)针对Windows XP的最后一批补丁。对于是否停止支持XP系统多年来讨论无数,问题主要围绕放弃支持目前仍有多达28%的计算机用户使用的操作系统会带来怎样的影响。目前要对停止支持XP系统产生的影响下结论还为之过早,但如果您仍在运行XP系统,那么可能是时候更新换代了。如果Heartbleed从未现身,我还觉得对此的讨论应到此为止,但是我敢肯定未来我们还将进一步进行探讨。这就是为什么还将讨论XP的终结可能对未来的影响的原因。 移动新闻 最后,但也同样重要的是卡巴斯基实验室研究人员在最新的报告中证实,利用恶意软件盗取安卓用户银行信息的犯罪分子业务繁荣。结束语:总有一天会出现破解那些精心设计的指纹采集仪的入侵行为。

从Heartbleed漏洞中吸取的教训

我的工作内容不仅仅是分析各种恶意软件和漏洞,也不限于讨论最新的安全威胁,而更多大的一块工作是尽力向用户说明并教会用户如何构建安全性。因此,我设法重点说明的一些主要话题包括备份、防御恶意代码、通过打上最新的安全补丁使系统保持最新,当然还有使用加密方法的必要性。我敢肯定,你之前一定听说过所有上述的内容,对吗? 但如果使用的安全软件有漏洞,成为攻击者的攻击入口时,我们该怎么做? 这是目前热议的话题,尤其是近期曝出了OpenSSL Heartbleed攻击后讨论更为激烈。我决定让此专栏更具我的个人风格,因为我能肯定的一点是你们都能找到无数有关SSL及Heartbleed攻击的文章,但我想分享的是我本人对这些类型的漏洞为何变得如此严重的一些看法。 但在开始讨论Heartbleed攻击之前,我想提一下我们如今看待安全产品和解决方案失效时的心态问题,这一点很重要。我们往往是通过安全产品或解决方案的各种功能和特点来对其进行评估的,如果其符合我们所要达到的目标,则我们会选择购买。 我们如今看待安全产品和解决方案心态并不乐观 – @JacobyDavid 问题是我们往往会忘记安全产品并不能解决我们的所有问题。我们需要理解的是安全产品和解决方案体现的是安全思维。 那么为什么我要讨论OpenSSL Heartbleed漏洞问题呢?我想从一般意义上说,我们都假定互联网运行正常,是一个安全的平台。我们通过互联网传递非常私人的信息、进行约会、购物、通信、管理财务等等。正因如此,互联网的缺点就是一旦出问题,情况就会很快恶化,变得非常糟。 互联网存在的一个大问题是其极端分立性。有些网上资源具有安全性极高、非常稳健的基础架构,而另一些资源则完全忽视这一点,极为脆弱,漏洞百出。此外,有些站点非常安全和稳健,但由于存在大量系统依赖性而导致这些站点变得很脆弱。保护IT系统中的每一个部分的安全性几乎不可能实现。 互联网基础架构一旦出问题,情况就会很快恶化,变得非常糟。 使用互联网时,我们需要预见最糟糕的情况并采取相应的措施。问题是我们还会使用互联网世界以外的可信资源,例如医疗系统、政府部门或其他系统,而这些系统也全部使用的是互联网。所以,一旦出现类似Heartbleed漏洞这样严重的问题时,影响是巨大的。 一旦犯罪分子开始利用Heartbleed漏洞,很难说Heartbleed攻击的传播范围会有多广,影响会有多大。但想想看要是有人能够复制整个世界所有银行保险库的钥匙会怎样?这乍一听确实非常严重,但也完全取决于保险库所存放的物品。 我希望近期不要只盯着这类安全漏洞不放,因为我们这一段时间会忙着解决这一问题。但我们需要记住的是软件只是软件,其中总是会出现或多或少的漏洞。我们还需要了解的是,即便进行备份、加密和防御恶意代码,也仍然有可能会泄露敏感数据。一旦数据泄露,我们需要想尽一切办法,使这些数据无效,让犯罪分子无机可乘。

“Heartbleed”漏洞恐令数千网站泄密

更新:在上一篇有关此漏洞的文章中曾提到(引用了Github上的列表)HideMyAss网站用户受到Heartbleed漏洞的威胁。但该网站发言人与我们联系表示,他们的用户并未受此漏洞的影响,所以我们从受影响网站列表中删除了此网站。 更新2:专栏已更新受影响服务列表,这些服务官方推荐更改用户密码。 NPR(美国国家公共广播电台)主播David Green在早8点主持的《早间节目》中讨论安全漏洞话题后,人们都知道了安全漏洞是非常严重的问题。昨天早上的节目中又提到了此话题,这次是OpenSSL中的一种严重的加密漏洞,被戏称为”Heartbleed”(心滴血)。OpenSSL可能是互联网部署最广泛的加密库。如果您不是很清楚什么是OpenSSL,别担心,下面我会用500字左右的篇幅来尽量解释清楚整个原委。 与网站建立起加密连接后,数据都将使用SSL/TLS协议进行加密,不管你连接的Google、Facebook还是网银。许多流行的网络服务器利用开源OpenSSL库来执行此加密作业。本周早些时候,OpenSSL的维护人员针对一种严重漏洞发布了修订,此漏洞在实现TLS功能时出现,称为”Heartbeat”(心跳包),攻击者借助此漏洞可从服务器内存中读取多达64 KB的数据。 换句话说,如果保护机器的库是有漏洞的版本,那么互联网上的任何人都能通过该漏洞来读取机器内存。最坏的情况是这一块小小的内存中可能含有敏感数据 – 用户名、密码,甚至包括服务器用于加密连接的专用密钥。此外,利用Heartbleed漏洞不会留下痕迹,没有确定的方法来判断服务器是否被黑客入侵过,也无法断定哪类数据被盗。 好消息是OpenSSL修复了该漏洞。但坏消息是没有办法保证受Heartbleed漏洞影响的这些网站和服务实施补丁来减轻漏洞的影响。更多的坏消息是,该漏洞很明显能够被轻松利用,而且可能已存在长达两年时间。这意味着许多流行网站的安全证书已被盗,包括密码在内的敏感用户数据也很可能遭窃。 用户行动计划 更新:Mashable收集的清单列出了来自受影响网络服务的正式PR回复。为了节省阅读表格并检查证书(下面有更多检查相关内容)的时间,只需在以下所有站点上更改密码即可:Facebook、Instagram、Pinterest、Tumblr、Yahoo、AWS、Box、Dropbox、Github、IFFT、Minecraft、OKCupid、SoundCloud和Wunderlist。请对每个站点使用唯一密码! 检查自己喜欢的站点是否有漏洞。有多种在线工具可检查是否存在漏洞,但你还需要知道之前是否有存在过。很幸运,你可以根据一个长长的流行网站列表来检查是否有漏洞。好消息是,PayPal和Google未受影响。坏消息是,Yahoo、Facebook、Flickr、Duckduckgo、LastPass、Redtube、OkCupid、500px及其他许多网站都存在漏洞。如果您在这些脆弱网站上有注册有帐户,请准备好随时行动。 立即检查网站是否有漏洞。有一个简单工具可用于此检查。 网站所有者修复漏洞后,还需要考虑重新发布网站证书。因此准备好监视服务器证书,并确保使用的是最新证书(4月8日或之后发布的证书)。为此,请启用浏览器中的证书撤销检查。下面举例说明了如何在Google Chrome设置中启用此项。 此项将阻止浏览器使用旧证书。要手动检查证书发布日期,请点击地址栏中的绿色锁图标,然后点击”连接”选项卡上的”信息”链接。 对服务器打补丁并更新证书后,最重要的一步是立即更改密码。此时可修改密码策略,并开始使用容易记忆而又安全的密码。您可以使用我们的密码检查程序来检查新密码是否安全。