幾天前曝光的 Heartbleed 重大缺陷讓整個網路陷入混亂,影響了全球超過 50 萬台網路伺服器。以下是您需要了解的有關此錯誤的所有信息,以了解它並保護自己。
1)心血,這是什麼?
對於網路上有史以來最嚴重的安全漏洞之一來說,這是一個非常富有詩意的名字。它是由 Google 和 Codenomicon 的安全研究人員發現的。它影響版本 1.0.1 至 1.0.1f 的 OpenSSL 加密協定。
更準確地說,該錯誤是在名為“Heartbeat”的協議擴展中發現的,該協議擴展可以以問答模式管理用戶和伺服器之間的永久連接(伺服器你在嗎?是的,我在嗎? ) 。
由於程式錯誤(讀取點 7),伺服器在某些情況下會將其 RAM 的一部分傳回給使用者。惡意人員可以利用資料外洩來竊取敏感資料。因此得名《心血》。
該公司在部落格文章中表示萊克斯西基於程式碼,以技術方式剖析了這個缺陷。設計師 Randall Munroe 則成功地以簡單且說明性的方式解釋了這個缺陷:六個小插曲(見圖)。
2)醫生,嚴重嗎?
是的,情況非常嚴重。由於此缺陷,攻擊者如果幸運的話,可以恢復受攻擊的 SSL 連接的私有加密金鑰。從這一刻起,大門敞開:駭客將可以存取所有流通的數據,包括識別碼和密碼。非常適合情報機構或網路犯罪集團。
如果運氣不好,駭客可能會獲得或多或少敏感的內容。無論如何,風險是巨大的。對安全專家 Bruce Schneier 來說,這個缺陷簡直是災難性的。“按照 1 到 10 的等級,它是 11”,他在一個部落格文章。
要了解災難的嚴重程度,只需諮詢羅伯特·格雷厄姆的博客,另一位安全專家。 4 月 9 日,它執行了自動網路掃描。它偵測到 2800 萬台使用 OpenSSL 的伺服器。其中,約 60 萬人處於弱勢。然而,最敏感的伺服器很快就得到了修補。
3) 哪些服務或設備受到影響?
版本 1.0.1 至 1.0.1f 中使用 OpenSSL 協定的所有線上服務。而且數量很多,因為 OpenSSL 是網路上使用最廣泛的加密技術之一。它預設整合到 Apache 和 nginx Web 伺服器中,這兩個伺服器已佔活躍 Web 伺服器的三分之二(來源:Netcraft)。
從服務類型來看,可能涉及網路郵件和即時訊息,以及SSL VPN服務或銀行服務。甚至匿名服務托爾和虛擬貨幣協議比特幣受到影響。
但這還不是全部。我們家裡的網路設備也可能容易受到攻擊——網路硬碟、網路盒、小型路由器等。 – 因為它們通常有一個可透過 SSL 存取的設定介面。至於 NAS 驅動器,例如 Synology、QNAP 和 Thecus 品牌設備就容易受到攻擊(資料來源:Cachem.fr)。
4) 我如何知道他們是否仍然脆弱?
首先要做的是檢查您的供應商是否就該主題進行了溝通。許多大品牌都以書面形式、在部落格上或透過 Twitter 這樣做了。範例:微軟,Google,亞馬遜網路服務,嘰嘰喳喳,貝寶,Dropbox,印象筆記,WordPress,Mojang/我的世界,吉圖布,... Mashable 網站保持最新狀態網路服務列表,表明他們的脆弱性。一些製造商也發布了警報,例如思科和瞻博網路。他們的許多網路設備都受到 Heartbleed 缺陷的影響:路由器、交換器、視訊設備等。林克系統也溝通過,但其產品並不脆弱。
還有一些網站提供漏洞測試。只需輸入網址即可得到答案。最完整的測試是誇利斯。最快的是菲利波·瓦爾索達,它還允許您測試簡單的 IP 位址(以及內部網路上的裝置)。還有立陶宛公司的可能的。較專業的人會選擇自動掃描工具。 GitHub 上有幾個類似的« 心血大規模測試 »或者« 馬斯坎»。例如,對於分析大型公司網路很有用。
5)該做什麼?
網路使用者應檢查他們使用的服務或裝置是否容易受到攻擊(請參閱上文)。如果是這樣,他們應該盡可能停止使用它們,直到安全為止。如果它們不易受攻擊,您需要檢查它們過去是否不易受攻擊(他們是否使用 OpenSSL 1.0.1?)。的清單可混搭或來自科技網可以指導您完成這項任務。您也可以諮詢GitHub4 月 8 日,一名開發人員掃描了 10,000 個站點,其中 630 個站點有漏洞。
如果存在漏洞,則必須更改密碼。以下服務尤其如此:
• Google(所有服務)
• Facebook
• 雅虎(所有服務)
• Instagram
• Pinterest
• 湯博樂
• Twitter(也許,目前還不清楚)
• Amazon Web Services(但不是 Amazon.com)
• Dropbox
• 盒子
就係統管理員而言,他們非常忙碌。他們必須盡快找到易受攻擊的伺服器並進行更新。祝你好運。
6) 這個缺陷在被揭露之前是否被利用了?
很難說。據揭露該漏洞的安全研究人員稱,該漏洞利用“不會在日誌中留下異常痕跡”。不過,透過對日誌進行徹底分析,似乎這仍然是可能的。因此,協會電子前沿基金會可能已經掌握了一個殭屍網絡,該網絡利用此缺陷捕獲 Freenode 論壇上的討論。有待檢查。
無論如何,由於這個缺陷的利用並不是很複雜,所以完全有可能一群網路犯罪分子或情報機構已經在幾個月內竊取了網路伺服器的資訊。但在這種情況下,損害已經造成。唯一剩下要做的就是更改密碼。
7) 這個缺陷的根源是什麼?
造成此缺陷的人是 Robin Seggelmann,他是一位住在明斯特的德國電腦科學家,經常為 OpenSSL 專案做出貢獻。兩年前,它添加了一些功能,但也出現了一個不幸的程式錯誤,導致了 Heartbleed 缺陷。“我忘記檢查包含[協定訊息長度,編者註]的變數””,他向《雪梨先驅晨報》解釋。然而,他指出,這個錯誤完全是非自願的,而且他不屬於任何情報機構,正如一些偏執狂在網路上所相信的那樣。
