几天前曝光的 Heartbleed 重大缺陷让整个互联网陷入混乱,影响了全球超过 50 万台网络服务器。以下是您需要了解的有关此错误的所有信息,以了解它并保护自己。
1)心血,这是什么?
对于网络上有史以来最严重的安全漏洞之一来说,这是一个非常富有诗意的名字。它是由 Google 和 Codenomicon 的安全研究人员发现的。它影响版本 1.0.1 至 1.0.1f 的 OpenSSL 加密协议。
更准确地说,该错误是在名为“Heartbeat”的协议扩展中发现的,该协议扩展可以以问答模式管理用户和服务器之间的永久连接(服务器你在吗?是的,我在吗?) 。
由于编程错误(读取点 7),服务器在某些情况下会将其 RAM 的一部分返回给用户。恶意人员可以利用数据泄露来窃取敏感数据。因此得名《心血》。
该公司在博客文章中表示莱克斯西基于代码,以技术方式剖析了这个缺陷。设计师 Randall Munroe 则成功地以简单且说明性的方式解释了这一缺陷:六个小插曲(见图)。
2)医生,严重吗?
是的,情况非常严重。由于此缺陷,攻击者如果幸运的话,可以恢复受攻击的 SSL 连接的私有加密密钥。从这一刻起,大门敞开:黑客将可以访问所有流通的数据,包括标识符和密码。非常适合情报机构或网络犯罪集团。
如果运气不好,黑客可能会获得或多或少敏感的内容。无论如何,风险是巨大的。对于安全专家 Bruce Schneier 来说,这个缺陷简直是灾难性的。“按照 1 到 10 的等级,它是 11”,他在一个博客文章。
要了解灾难的严重程度,只需咨询罗伯特·格雷厄姆的博客,另一位安全专家。 4 月 9 日,它执行了自动网络扫描。它检测到 2800 万台使用 OpenSSL 的服务器。其中,约 60 万人处于弱势。然而,最敏感的服务器很快就得到了修补。
3) 哪些服务或设备受到影响?
版本 1.0.1 至 1.0.1f 中使用 OpenSSL 协议的所有在线服务。而且数量很多,因为 OpenSSL 是互联网上使用最广泛的加密技术之一。它默认集成到 Apache 和 nginx Web 服务器中,这两个服务器已占活跃 Web 服务器的三分之二(来源:Netcraft)。
从服务类型来看,可能涉及网络邮件和即时消息,以及SSL VPN服务或银行服务。甚至匿名服务托尔和虚拟货币协议比特币受到影响。
但这还不是全部。我们家里的网络设备也可能容易受到攻击——网络硬盘、互联网盒、小型路由器等。 – 因为它们通常有一个可通过 SSL 访问的配置界面。至于 NAS 驱动器,例如 Synology、QNAP 和 Thecus 品牌设备就容易受到攻击(来源:Cachem.fr)。
4) 我如何知道他们是否仍然脆弱?
首先要做的是检查您的供应商是否就该主题进行了沟通。许多大品牌都以书面形式、在博客上或通过 Twitter 这样做了。示例:微软,谷歌,亚马逊网络服务,叽叽喳喳,贝宝,Dropbox,印象笔记,WordPress,Mojang/我的世界,吉图布,... Mashable 网站保持最新状态网络服务列表,表明他们的脆弱性。一些制造商也发布了警报,例如思科和瞻博网络。他们的许多网络设备都受到 Heartbleed 缺陷的影响:路由器、交换机、视频设备等。林克系统也沟通过,但其产品并不脆弱。
还有一些网站提供漏洞测试。只需输入网址即可得到答案。最完整的测试是夸利斯。最快的是菲利波·瓦尔索达,它还允许您测试简单的 IP 地址(以及内部网络上的设备)。还有立陶宛公司的可能的。更专业的人会选择自动扫描工具。 GitHub 上有几个类似的« 心血大规模测试 »或者« 马斯坎»。例如,对于分析大型公司网络很有用。
5)应该做什么?
互联网用户应检查他们使用的服务或设备是否容易受到攻击(请参阅上文)。如果是这样,他们应该尽可能停止使用它们,直到安全为止。如果它们不易受攻击,您需要检查它们过去是否不易受攻击(他们是否使用 OpenSSL 1.0.1?)。的清单可混搭或来自科技网可以指导您完成这项任务。您还可以咨询GitHub4 月 8 日,一名开发人员扫描了 10,000 个站点,其中 630 个站点存在漏洞。
如果存在漏洞,则必须更改密码。以下服务尤其如此:
• Google(所有服务)
• Facebook
• 雅虎(所有服务)
• Instagram
• Pinterest
• 汤博乐
• Twitter(也许,目前还不清楚)
• Amazon Web Services(但不是 Amazon.com)
• Dropbox
• 盒子
就系统管理员而言,他们非常忙碌。他们必须尽快找到易受攻击的服务器并进行更新。祝你好运。
6) 这个缺陷在被揭露之前是否被利用了?
很难说。据揭露该漏洞的安全研究人员称,该漏洞利用“不会在日志中留下异常痕迹”。不过,通过对日志进行彻底分析,似乎这仍然是可能的。因此,协会电子前沿基金会可能已经掌握了一个僵尸网络,该网络利用此缺陷捕获 Freenode 论坛上的讨论。有待检查。
无论如何,由于这个缺陷的利用并不是很复杂,所以完全有可能一群网络犯罪分子或情报机构已经在几个月内窃取了网络服务器的信息。但在这种情况下,损害已经造成。唯一剩下要做的就是更改密码。
7) 这个缺陷的根源是什么?
造成此缺陷的人是 Robin Seggelmann,他是一位住在明斯特的德国计算机科学家,经常为 OpenSSL 项目做出贡献。两年前,它添加了一些功能,但也出现了一个不幸的编程错误,导致了 Heartbleed 缺陷。“我忘记检查包含[协议消息长度,编者注]的变量””,他向《悉尼先驱晨报》解释道。然而,他指出,这个错误完全是非自愿的,并且他不属于任何情报机构,正如一些偏执狂在网络上所相信的那样。
