日日干夜夜操_91成年人免费视频_国产午夜精品一区二区三区_国产亚洲欧洲精品

互聯(lián)網(wǎng)核心安全“心臟出血”

2014-4-9 10:31:12      點(diǎn)擊:

西安鼎興自控工程有限公司推薦:互聯(lián)網(wǎng)核心安全“心臟出血”

4月8日是黑客和白帽們的不眠之夜。他們有的在狂歡,逐個(gè)進(jìn)入戒備森嚴(yán)的網(wǎng)站,耐心地收集泄漏數(shù)據(jù),拼湊出用戶的明文密碼;有的在艱苦升級(jí)系統(tǒng),統(tǒng)計(jì)漏洞信息,還要準(zhǔn)備說(shuō)服客戶的說(shuō)辭,讓他們意識(shí)到問(wèn)題的嚴(yán)重性。

4月8日是黑客和白帽們的不眠之夜。他們有的在狂歡,逐個(gè)進(jìn)入戒備森嚴(yán)的網(wǎng)站,耐心地收集泄漏數(shù)據(jù),拼湊出用戶的明文密碼;有的在艱苦升級(jí)系統(tǒng),統(tǒng)計(jì)漏洞信息,還要準(zhǔn)備說(shuō)服客戶的說(shuō)辭,讓他們意識(shí)到問(wèn)題的嚴(yán)重性;當(dāng)然還有淼叔這樣看熱鬧不嫌事大的,拼命惡補(bǔ)安全嘗試、尋找專(zhuān)家采訪,試圖記錄這歷史性的一夜。

基礎(chǔ)安全協(xié)議“心臟出血”

北京知道創(chuàng)宇公司的余弦守在電腦屏幕前徹夜未眠。作為一家高速發(fā)展的安全企業(yè)研究部總監(jiān),余弦在國(guó)內(nèi)黑客圈資歷頗深。他向淼叔介紹了這次事件的起源。該漏洞是由安全公司Codenomicon和谷歌安全工程師發(fā)現(xiàn)的,并提交給相關(guān)管理機(jī)構(gòu),隨后官方很快發(fā)布了漏洞的修復(fù)方案。4月7號(hào),程序員Sean Cassidy則在自己的博客上詳細(xì)描述了這個(gè)漏洞的機(jī)制。

他披露,OpenSSL的源代碼中存在一個(gè)漏洞,可以讓攻擊者獲得服務(wù)器上64K內(nèi)存中的數(shù)據(jù)內(nèi)容。這部分?jǐn)?shù)據(jù)中,可能存有安全證書(shū)、用戶名與密碼、聊天工具的消息、電子郵件以及重要的商業(yè)文檔等數(shù)據(jù)。

OpenSSL是目前互聯(lián)網(wǎng)上應(yīng)用最廣泛的安全傳輸方法(基于SSL即安全套接層協(xié)議)?梢越频卣f(shuō),它是互聯(lián)網(wǎng)上銷(xiāo)量最大的門(mén)鎖。而Sean爆出的這個(gè)漏洞,則讓特定版本的OpenSSL成為無(wú)需鑰匙即可開(kāi)啟的廢鎖;入侵者每次可以翻檢戶主的64K信息,只要有足夠的耐心和時(shí)間,他可以翻檢足夠多的數(shù)據(jù),拼湊出戶主的銀行密碼、私信等敏感數(shù)據(jù);假如戶主不幸是一個(gè)開(kāi)商店的或開(kāi)銀行的,那么在他這里買(mǎi)東西、存錢(qián)的用戶,其個(gè)人最敏感的數(shù)據(jù)也可能被入侵者獲取。

一位安全行業(yè)人士在知乎上透露,他在某著名電商網(wǎng)站上用這個(gè)漏洞嘗試讀取數(shù)據(jù),在讀取200次后,獲得了40多個(gè)用戶名、7個(gè)密碼,用這些密碼,他成功地登錄了該網(wǎng)站。

發(fā)現(xiàn)者們給這個(gè)漏洞起了個(gè)形象的名字:heartleed,心臟出血。這一夜,互聯(lián)網(wǎng)的安全核心,開(kāi)始滴血。

中國(guó)有至少三萬(wàn)臺(tái)機(jī)器“帶病”

一些安全研究者認(rèn)為,這個(gè)漏洞影響可能沒(méi)有那么大,因?yàn)槭苈┒从绊懙腛penSSL 1.01系列版本,在互聯(lián)網(wǎng)上部署并不廣泛。

國(guó)內(nèi)老資格的安全工作者、安天實(shí)驗(yàn)室首席架構(gòu)師江?筒徽J(rèn)同這種說(shuō)法。他在微博上預(yù)警:“這一次,狼真的來(lái)了”。

余弦則以對(duì)問(wèn)題進(jìn)行了精確的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大論壇中實(shí)時(shí)跟蹤事態(tài)的最新進(jìn)展,更重要的精力放在了ZoomEye系統(tǒng)的掃描上。根據(jù)該系統(tǒng)掃描,中國(guó)全境有1601250臺(tái)機(jī)器使用443端口,其中有33303個(gè)受本次OpenSSL漏洞影響!443端口僅僅是OpenSSL的一個(gè)常用端口,用以進(jìn)行加密網(wǎng)頁(yè)訪問(wèn);其他還有郵件、即時(shí)通訊等服務(wù)所使用的端口,因時(shí)間關(guān)系,尚未來(lái)得及掃描。

ZoomEye是一套安全分析系統(tǒng),其工作原理類(lèi)似Google,會(huì)持續(xù)抓取全球互聯(lián)網(wǎng)中的各種服務(wù)器,并記錄服務(wù)器的硬件配置、軟件環(huán)境等各類(lèi)指標(biāo),生成指紋,定期對(duì)比,以此確定該服務(wù)器是否存在漏洞或被入侵。在此次“心臟出血”漏洞檢測(cè)中,余弦給該系統(tǒng)后面加上一個(gè)“體檢”系統(tǒng),過(guò)濾出使用問(wèn)題OPenSSL的服務(wù)器,即可得出存在安全隱患的服務(wù)器規(guī)模。

從該系統(tǒng)“體檢”結(jié)果看,比三萬(wàn)臺(tái)問(wèn)題服務(wù)器更令人驚心的,是這些服務(wù)器的分布:它們有的在銀行網(wǎng)銀系統(tǒng)中,有的被部署在第三方支付里,有的在大型電商網(wǎng)站,還有的在郵箱、即時(shí)通訊系統(tǒng)中。

自這個(gè)漏洞被爆出后,全球的駭客與安全專(zhuān)家們展開(kāi)了競(jìng)賽。前者在不停地試探各類(lèi)服務(wù)器,試圖從漏洞中抓取到盡量多的用戶敏感數(shù)據(jù);后者則在爭(zhēng)分奪秒地升級(jí)系統(tǒng)、彌補(bǔ)漏洞,實(shí)在來(lái)不及實(shí)施的則暫時(shí)關(guān)閉某些服務(wù)。。余弦說(shuō),這是目前最危險(xiǎn)的地方:駭客們已經(jīng)紛紛出動(dòng),一些公司的負(fù)責(zé)人卻還在睡覺(jué)。而如果駭客入侵了服務(wù)器,受損的遠(yuǎn)不止公司一個(gè)個(gè)體,還包括存放于公司數(shù)據(jù)庫(kù)的大量用戶敏感資料。更為麻煩的是,這個(gè)漏洞實(shí)際上出現(xiàn)于2012年,至今兩年多,誰(shuí)也不知道是否已經(jīng) 有駭客利用漏洞獲取了用戶資料;而且由于該漏洞即使被入侵也不會(huì)在服務(wù)器日志中留下痕跡,所以目前還沒(méi)有辦法確認(rèn)哪些服務(wù)器被入侵,也就沒(méi)法定位損失、確認(rèn)泄漏信息,從而通知用戶進(jìn)行補(bǔ)救。

問(wèn)題的應(yīng)對(duì)與新的問(wèn)題:

目前,ZoomEye仍在持續(xù)不斷地給全球服務(wù)器”體檢“,這個(gè)過(guò)程需要20小時(shí)左右。相比之下,僅僅給國(guó)內(nèi)服務(wù)器體檢需要的時(shí)間短得多,僅僅需要22分鐘;而給那三萬(wàn)多臺(tái)”帶病“服務(wù)器重復(fù)體檢,則只需兩分鐘。目前,余弦已經(jīng)將這份名單提交給CNCERT/CC(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心),由后者進(jìn)行全國(guó)預(yù)警。但是,除了移動(dòng)、聯(lián)通等這些大型企業(yè)外,CNCERT也沒(méi)有強(qiáng)制力確保其他公司看到預(yù)警內(nèi)容,最后可能還是需要媒體持續(xù)曝光一些“帶病”服務(wù)器,以此倒逼相關(guān)公司重視該漏洞。

而在漏洞修補(bǔ)期間,普通消費(fèi)者與公司均應(yīng)該采取相關(guān)措施規(guī)避風(fēng)險(xiǎn)。對(duì)于普通用戶來(lái)說(shuō),余弦建議在確認(rèn)有關(guān)網(wǎng)站安全之前,不要使用網(wǎng)銀、電子支付和電商購(gòu)物等功能,以避免用戶密碼被漏洞后的駭客捕獲。“一位銀行朋友告訴我,他們補(bǔ)上這個(gè)漏洞需要兩天時(shí)間。這兩天大家最好就別登錄網(wǎng)銀了,確認(rèn)安全后再登。如果已經(jīng)登錄過(guò)了,那就考慮換一下密碼吧!

與用戶的消極避險(xiǎn)不同,相關(guān)互聯(lián)網(wǎng)企業(yè)則應(yīng)該盡快進(jìn)行主動(dòng)升級(jí)。升級(jí)到最新的OpenSSL版本,可以消除掉這一漏洞,這是目前企業(yè)最便捷的做法。但在升級(jí)后,理論上還應(yīng)該通知用戶更換安全證書(shū)(因?yàn)槁┒吹拇嬖,證書(shū)的密鑰可能已泄漏),并通知用戶盡可能地修改密碼。后面這兩個(gè)措施,企業(yè)實(shí)施起來(lái)會(huì)面臨很大的代價(jià),也只能通過(guò)媒體盡量曝光,讓意識(shí)到的用戶重新下載證書(shū)并自行修改密碼了。

由于“心臟出血”漏洞的廣泛性和隱蔽性,未來(lái)幾天可能還將會(huì)陸續(xù)有問(wèn)題爆出。在互聯(lián)網(wǎng)飛速發(fā)展的今天,一些協(xié)議級(jí)、基礎(chǔ)設(shè)施級(jí)漏洞的出現(xiàn),可能會(huì)打擊人們使用互聯(lián)網(wǎng)的信心,但客觀上也使得問(wèn)題及時(shí)暴露,在發(fā)生更大的損失前及時(shí)得到彌補(bǔ)。作為身處其中的個(gè)人,主動(dòng)應(yīng)變、加強(qiáng)自我保護(hù),可能比把安全和未來(lái)全部托付出去要負(fù)責(zé)任一些。