為什麼heartbleed是web上最危險的安全漏洞
週一下午,IT界接到了一個非常惡劣的叫醒電話,來自OpenSSL專案的緊急安全諮詢警告說有一個名為“Heartbleed”的開放性錯誤。這個錯誤可以用來從執行當前軟體的任何伺服器上提取一大塊工作記憶體。當時有一個緊急補丁,但在安裝之前,數以千萬計的伺服器暴露在外。任何執行伺服器的人都突然處於危機狀態。
讓攻擊者監聽資料流量
如果“心血”這個名字聽起來很戲劇化,那麼這個bug似乎不辜負宣傳。從受影響電腦的規模和漏洞的深度來看,這已經遠比今年早些時候令蘋果尷尬的GoToFail漏洞糟糕。新的bug會讓攻擊者將私鑰拉到伺服器上,讓攻擊者監聽資料流量,並可能偽裝成伺服器。更糟糕的是,它已經過時了:這個bug可以追溯到兩年前,現在還不清楚人們知道它有多久了。
網路上多達三分之二的伺服器依賴於OpenSSL
OpenSSL在編碼領域之外並不廣為人知,但是web上多達三分之二的伺服器依賴於它的軟體。這一突然曝光意味著所有相關人員現在都在忙著解決問題。雅虎已經暴露了這個漏洞,專家建議任何雅虎使用者在雅虎有時間更新伺服器之前都不要使用他們的賬戶(雅虎的一位代表告訴《邊緣》雜誌,核心網站現在已經打了補丁,不過該團隊仍在努力在網站的其他部分實施修複。)據報道,其他幾十家較小的公司也受到了影響,其中包括Imgur、Flickr和LastPass(儘管LastPass說沒有暴露未加密的資料)。”這是災難性的壞,只是一個巨大的破壞性的錯誤,說:“ICSI安全研究員尼古拉斯韋弗。
谷歌研究人員Neel Mehta發現了這個漏洞,攻擊者可以從給定伺服器的工作記憶體中隨機抽取64k。這有點像釣魚-攻擊者不知道什麼可用的資料將在運輸-但由於它可以執行一次又一次,有很多敏感資料的潛力被暴露。伺服器的私有加密金鑰是一個特定的目標,因為它們必須儲存在工作記憶體中,並且很容易在資料中識別。這將允許攻擊者竊聽進出服務的流量,並可能解密任何以前以加密形式儲存的流量。
“在接下來的幾天裡,當事情解決時,你可能想完全遠離網際網路。”
對於大多數依賴OpenSSL的隱私工具來說,這是災難性的。Tor專案的一篇博文告訴使用者,“如果你在網際網路上需要很強的匿名性或隱私性,你可能希望在接下來的幾天裡在事情解決的時候完全遠離網際網路。”在很多情況下,幾天可能是不夠的。這將使服務有時間修補其伺服器,但如果任何私鑰在修補程式啟動前被洩露,攻擊者將在未來幾個月內得到自由控制。伺服器可以重置它們的證書,但這既慢又貴,專家懷疑其中許多伺服器可能只是簡單地認為補丁已經足夠了。”我打賭一年後會有很多易受攻擊的伺服器,”韋弗說這是修不好的。”
“這是修不好的。”
蘋果、谷歌和微軟以及主要的電子銀行服務似乎沒有受到影響。另一方面,雅虎則受到影響,在其核心網站修複前的一天中,有相當一部分時間,雅虎都在洩露使用者憑據。更普遍地說,任何在Apache或Nginx上執行OpenSSL的伺服器都會受到影響,這涉及到大量的日常網站和服務。
目前,有幾種方法可以讓使用者判斷哪些服務是安全的,但這條訊息並不讓人放心。這個網站由開發人員Filippo Valsorda建立,提供了一個關於哪些服務當前未修補的抽查,但是該網站的程式碼也產生了誤報,因此不應該被認為是完全排除了任何可能性。任何修補過的伺服器還需要生成新的SSL證書,以確保攻擊者不能使用在漏洞中暴露的金鑰。要進行檢查,請使用像這樣的SSL跟蹤器並查詢證書的“頒發日期”,該日期應在最近的修補程式之後。重置證書需要時間和金錢,但是如果一個被破壞的站點繼續使用一個被破壞的證書,他們將使自己處於被攻擊的境地。
“這些都是非常微妙的錯誤。”
現在還很早就可以斷定這次違約將帶來哪些更大的變化,但一些教訓已經很清楚了。儘管有大量的基礎設施依賴於OpenSSL,但開源專案的資金相對不足,一些專家已經呼籲向該專案提供更多的捐款,以防止Heartbleed等漏洞從縫隙中溜走。完美的前向保密還可以限制漏洞造成的損害,防止事後解密。
但最令人不安的教訓可能是,漏洞很難被髮現,一旦被完全暴露,其危害性又有多大。”韋弗說:“這些都是非常微妙的蟲子。”如果你透過記憶體檢查器執行它,你可能會發現它,但這並不是那種只在檢視程式碼時才會出現的事情。“這是谷歌的功勞,他非常嚴謹地發現了這個bug——但對於任何依賴安全軟體的人來說,這是一個令人不安的想法。
更新美國東部時間4月8日下午3:54:更新以反映雅虎的宣告:“我們的團隊已成功地對雅虎的主要屬性(雅虎主頁、雅虎搜尋、雅虎郵件、雅虎財經、雅虎體育、雅虎食品、雅虎科技、,Flickr和Tumblr),我們正在努力在其他網站上實施修複程式。”
- 發表於 2021-04-25 17:19
- 閱讀 ( 44 )
- 分類:網際網路
你可能感興趣的文章
悉尼漏斗網蜘蛛(sydney funnel-web spider)和巴西流浪蜘蛛(brazilian wandering spider)的區別
...起前腿,前後擺動。 悉尼漏斗網蜘蛛和巴西流浪蜘蛛有什麼區別? •悉尼漏斗網蜘蛛只在澳大利亞悉尼市發現,而巴西流浪蜘蛛則分佈在中美洲和南美洲。 •悉尼漏斗網蜘蛛通常比巴西流浪蜘蛛大。 •悉尼漏斗網蜘蛛為黑色...
歷史上最嚴重的10個程式設計錯誤
... Heartbleed Bug出現在OpenSSL庫中,是一個危險的安全漏洞。傳輸層安全(TLS)協議採用OpenSSL加密庫。由於它在TLS中的廣泛應用,心血傳播很快。這個錯誤允許網際網路上的任何人讀取執行受影響的OpenSSL迭代的機器上的...
你最喜歡的名人能用惡意軟體感染你嗎?
...喜歡的名人似乎很天真——你想看看泰勒·斯威夫特在幹什麼,或者看看克里斯蒂亞諾·羅納爾多的最新微博,或者知道艾米·亞當斯的下一部電影什麼時候上映。但是網路犯罪者可以利用你對名人的興趣,用惡意軟體攻擊你。 ...
什麼是“混合內容”,為什麼chrome會阻止它?
...用HTTPS時,內容不能在傳輸過程中被窺探或篡改,這就是為什麼它的關鍵網站在處理金融資訊或私人資料時提供加密。 網路正在轉向安全的HTTPS網站。如果你連線到一個沒有加密的舊HTTP網站,Google Chrome現在警告你這些網站“不...
為什麼你不能僅僅透過開啟一封郵件就被感染(不再)
...、作業系統和其他計算機程式一樣,偶爾也會發現並修補安全漏洞。 As long as you are using up-to-date software – including your mail client, browser, browser plugins, and operating system – you should be able to open email messages and view them without fear. 電子...
什麼是混合內容警告?
...。 什麼是混合含量(mixed content)? 相關:什麼是HTTPS,我為什麼要關心? 這些都歸結為HTTP和HTTPS之間的區別。HTTP是最常用的連線型別—當您使用HTTP協議訪問網站時,與網站的連線不安全。任何偷聽流量的人都可以看到你正在檢...
heartbleed解釋:為什麼你現在需要更改密碼
上一次我們提醒你一個重大的安全漏洞是當Adobe的密碼資料庫被破壞,使數以百萬計的使用者(尤其是那些密碼脆弱和頻繁重複使用的使用者)處於危險之中。今天我們要警告你一個更大的安全問題,Heartbleed Bug,它有可能危害...
android的stagefright漏洞:你需要知道什麼以及如何保護自己
Android在一個叫做“Stagefright”的元件中有一個巨大的安全漏洞,僅僅是收到一條惡意的MMS資訊就可能導致你的**受到攻擊。令人驚訝的是,我們還沒有看到蠕蟲像早期WindowsXP時代的蠕蟲那樣在**之間傳播——所有的成分都在這裡...
新澤西州前司法部長的戒指相機和麵部識別
...的很安全。我的社群很好,但城市本身確實很危險。”因為什麼會導致晚間新聞?**,搶劫,謀殺。人們害怕什麼?我們都害怕別人。 我認為像戒指這樣的東西,當他們圍繞著犯罪和舉報進行營銷,他們推出犯罪統計資料,給人...
連線成本:為什麼維護手機發射塔是美國最危險的工作之一
當美國的**運營商吹噓他們最新最強大的資料網路,承諾極快的資料速度和更大的覆蓋範圍時,他們通常不會提及升級**網路所涉及的實際體力勞動。令人欣喜的抽象頻寬數字讓人很容易忘記這種高速連線來自何處:即工人們爬...
