|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

Heartbleed是最危险的网站安全漏洞 为什么?

2014-04-09 23:21 作者:木语 来源:硅谷网 HV: 编辑: 【搜索试试
为何“心脏流血”是最凶猛的网站安全漏洞

硅谷网讯 昨日,全世界IT界都被来自OpenSSL项目的针对名为“心脏流血”(Heartbleed)的开源漏洞的紧急警告震醒,该漏洞可被用于从任何使用OpenSSL协议的软件的服务器上获取服务器工作日志,如果不安装紧急软件包对该漏洞进行修复,世界范围内数千万计的服务器都处于危险之中。

“心脏流血”这个名字听起来有点夸张,但这个漏洞的威力似乎当得起它的名字。不管是从可能感染的电脑数量还是从可能被泄露的数据规模,“心脏流血”的破坏力都超过在今年早些时候狠狠羞辱了苹果公司的“GoToFail ”漏洞。“心脏流血”漏洞可以帮助黑客获得打开服务器的密钥,监听服务器数据和流量。更糟糕的是,这并不是一个新的漏洞, “心脏流血”其实已经存在两年了,但具体何时被人发现其危险性尚不得而知。

对于不熟悉编程的人来说,OpenSSL可能是个陌生的名字,但是,实际上全世界网站服务器中有三分之二都是用OpenSSL的软件,如今所有人都开始急着寻求补救方法,比如深陷其中的雅虎,不少专家建议雅虎用户,在雅虎更新器服务器前,清空账号内容以防万一。除了雅虎,还有众多中小网站也受到了影响,比如Imgur,Flickr以及LastPass (尽管LastPass 称并未有未加密的数据可能泄露)。

“这是个灾难性的事件,一个破坏力极强的漏洞,”ICSI的网络安全研究员尼古拉斯·韦弗(Nicholas Weaver)表示。

“心脏流血”首先被谷歌(微博)研究员尼尔·梅塔(Neel Mehta)发现,它可从特定服务器上随机获取64k的工作日志,由于数据是随机获取的,所以攻击者也不一定可以获得想要的信息,因此整个过程如同钓鱼,攻击可能一次次持续进行,大量敏感数据可能泄露。由于一台服务器的密钥也记录在其工作日志中,并且在大量数据中可被轻易辨别,因此将是首当其冲的获取目标,获取密钥后,攻击者可以掌握某网站或服务的实时流量情况,甚至可以破解被加密的以往流量日志。

对于依赖OpenSSL的加密工具来说,数据被泄露将面临灾难性的后果,加密社区Tor Project发布博客文章警告用户:“如果你在网上希望匿名或者隐私保护,那么接下来的几天最好还是完全远离互联网吧。”而且,很多情况下,几天的时间根本不够,网站或者服务提供商需要不少时间将其服务器升级修复,一旦在这段时间内服务器密钥被捕获,攻击者可能有足够的时间对网站进行攻击。网站可以对其密钥和证书进行重新设定,但这个过程非常缓慢并且代价昂贵,不少网站可能仅仅选择对服务器进行漏洞修复。上述 ICSI的网络安全研究员尼古拉斯·韦弗怀疑,一年后,很多网站的服务器可能处于非常脆弱的状态,“问题并没有彻底解决。”

苹果、谷歌、微软似乎暂未中枪,一些网络银行服务商似乎也没受到影响,但是一部分雅虎用户数据则在一天之内遭到泄露(一名雅虎发言人称雅虎主站已经得到修复,团队目前正在修复其他雅虎网站)。任何采用了使用OpenSSL协议的Apache或者Nginx软件都会受到影响,很多不少用户常用的网站或者服务都因此中枪。

目前,有几种方法可以鉴别一个网站是否安全,有一家由开发者费力坡·瓦索达(Filippo Valsorda)建立的网站提供检测一家网站是否尚未修复漏洞的方法,但这家网站并不能提供百分之百准确的鉴定结果。所有已被修复的服务器仍需产生新的SSL证书密钥保证攻击者无法利用捕获的密钥进行攻击,因此也可以通过检测某网站密钥的产生日期来判断该网站是否近期被修复。网站重新设定密钥证书需要花费时间和金钱,但是如果不这么做,就很容易被攻击。

目前来看,这场风波会给互联网行业带来什么样的影响还很难说,但是一些教训已经很明显。尽管大量的网站使用OpenSSL,这项开源的协议依然缺乏足够的资金进行发展,不少专家已经开始号召向OpenSSL项目进行捐钱,避免未来再次出现如同“心脏流血”的漏洞。

但是,“心脏流血”带来的最重要的教训,恐怕是要发现网站的漏洞和脆弱性有多困难,一旦漏洞出现的后果又有多严重,尼古拉斯·韦弗表示“这些漏洞都比较隐秘,如果你进行日志检查,你有可能发展,但如果你只是看代码的话,是无法发现的。”“所以这次要感谢谷歌,其检测程序足够严格,发现了这个漏洞,但是对于任何依赖开源安全软件的网址来说,都应该进行反思。”

注:截止美国东部时间4月8号下午3:54,雅虎发布声明称其团队已经将雅虎主要的网站都进行了修复,包括雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技以及Flickr和Tumblr,其余网站的修复还在进行中。

【对“Heartbleed是最危险的网站安全漏洞 为什么?”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·曾被黑客攻入 亚马逊大量商户账户面临危险
·全球超50%的蓝牙设备处于易被黑客攻击的危险中
·金山CEO傅盛:360是最大安全谎言
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
最新
·华为智能安防的“神兽”来了 请重新认识智能安防
·发现“好望”角:安防分销迎来“小精智”时代
·微博数据疑似大规模泄露,用户手机号等信息外流
·报告称美国超过八成联网医疗成像设备易受黑客攻击
·Sensor Tower推出20余款App秘密收集数百万用户数
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·30余省市社保系统有漏洞 网络安全如何攻防?
·租车有风险如何能避免 cocar打造安全共享租车
·智能手机信息安全隐患 百度知道为网友支招
·从共享单车被“黑” 看一直被忽视的APP安全
·腾讯安全半年报揭秘区块链“三大安全威胁”
广告
硅谷影像
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
英特尔芯片新安全漏洞能够导致设备加密功能失效
英特尔芯片新安全漏洞能够导致设备加密功能失效
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>