你的位置:BNET商學院>運營與創業>市場觀察>文章頁
網絡安全的“心臟出血”漏洞將密碼暴露于黑客眼前
字號:

時間: 2014-04-15 來源:BNET 商學院 作者:Stephen Shankland

轉發: 騰訊微博 推薦到豆瓣豆瓣 人人網 網易

關鍵字:網絡安全
被稱為“心臟出血”的新的大漏洞可以讓攻擊者獲取用戶密碼,并愚弄人們去使用偽造版本的網站。一些人說他們已經因此發現雅虎的密碼了。

網絡安全的“心臟出血”漏洞將密碼暴露于黑客眼前  

     被稱為“心臟出血”的新的大漏洞可以讓攻擊者獲取用戶密碼,并愚弄人們去使用偽造版本的網站。一些人說他們已經因此發現雅虎的密碼了。

  上周一晚間公布的這一個問題存在于一個被稱為OpenSSL的開源軟件中,該軟件是用于加密網絡通信的。“心臟出血”可以透露存儲最敏感的數據的服務器中的內容;這就包括私有數據,如用戶名、密碼和信用卡號碼。這也意味著攻擊者可以得到服務器數字秘鑰的復件,然后用來模擬服務器或解密從前,甚至是以后的通訊。

  安全漏洞經常出現,但這次是最為嚴重的。它不僅要求網站進行大幅度修改,它還可能需要網絡使用者更改密碼,因為他們可能會被攔截。隨著越來越多的人們的生活內容搬到了網上,并將密碼也在諸多網站中循環利用,不想費事的去修改一下,結果這成了一個大問題。

  “透過‘心臟出血’這個漏洞,我們能揭開雅虎用戶名以及密碼,”在顯示了一個受到審查的例子之后,安全公司Fox-IT的羅納德?普林斯在推文中說到。開發人員斯科特Galloway補充說,“現在,讓我的‘心臟出血’的腳本運行5分鐘,就會有一份200個雅虎郵箱用戶名和密碼的列表…小事一樁!”

  Yahoo聲稱,在剛過中午的時候,他就修復了其主要站點的這一最大漏洞,“當我們意識到這個問題時,我們就開始了修復工作。我們的團隊已經成功地對雅虎的主要屬性(雅虎主頁,雅虎搜索,雅虎郵箱,雅虎財經,雅虎體育,雅虎食物,雅虎科技,Flickr和Tumblr)做出適當的修正,我們現在正努力實現修復我們的網站中剩余的部分。我們專注于為全球用戶提供最安全的體驗,并且不斷的努力保護我們的用戶數據。”

  然而,雅虎并沒有提供用戶應該做什么或者對他們的影響在哪里的建議。

  開發人員和密碼顧問Filippo Valsorda公布了一個讓人們檢查網站上“心臟出血”漏洞的工具,。這個工具顯示谷歌、微軟、Twitter、Facebook、Dropbox,和其他幾個主要網站沒有受到影響,但雅虎不是。Valsorda的測試是,在使用“黃色潛水艇”這些詞進行交流之后,使用“心臟出血”在一個服務器的存儲中檢測單詞“黃色潛水艇”。

  其他Valsorda的工具顯示為脆弱網站包括還Imgur,OKCupid,Eventbrite。

  這一漏洞正式命名是CEV - 2014 - 0160,但被Codenomicon安全公司賦予了“心臟出血”這樣一個更迷人的俗稱。該問題是由上述公司與谷歌研究人員Neel Mehta共同發現的。

  “它泄露了識別服務提供者的秘鑰以及加密用戶流量,用戶名和密碼,以及實際內容的秘鑰,“Codenomicon說。“這允許攻擊者竊聽通信、竊取數據直接從服務和用戶,并模仿服務和用戶。”

  為了測試漏洞,Codenomicon 將“心臟出血”應用在自己的服務器上。“我們從外部攻擊自己,并沒有留下痕跡。在不使用任何特權信息或證書的情況下,我們可以竊取我們用于X.509證書的密鑰,用戶名和密碼、即時消息、電子郵件和業務關鍵文件和通訊。”該公司表示。

  然而,幫助關閉了OpenSSL漏洞的谷歌安全專家Adam Langley說他的測試結果并沒有披露如密鑰這般敏感的信息。“測試OpenSSL“心臟出血”的補丁時,我從未獲得來自服務器的關鍵資料,只是一些舊的連接緩沖(盡管包括了cookies)。”Langley在Twitter上說。

  據發言人Joe Siegrist說,受此漏洞影響的公司之一是密碼管理者LastPass,但是該公司上周二上午5:47升級了服務器。“LastPass相當獨特,幾乎你的所有數據又都進行了一個連LastPass服務器也不會獲得的加密秘鑰,所以這錯誤不可能接觸客戶的加密數據,“Siegrist補充道。

 

  根據上周一晚上OpenSSL項目的顧問所言,OpenSSL公布的1.0.1版和1.0.2測試版本,以及附帶很多版本的Linux用于流行的Web服務器的服務器軟件都深受此漏洞之害。OpenSSL發布了版本1.0.1g來修復這個漏洞,但很多網站運營商將不得不努力更新軟件。此外,他們將不得不撤銷現在可能已經泄露的安全證書。

  “心臟出血是空前的。請檢查您的OpenSSL 吧!”Nginx在周二的推文中發出這樣的警告。

  OpenSSL是各種被稱為SSL(安全套接字層)或TLS(傳輸層安全)的加密技術中的一種加密工具。Codenomicon說,它一直在外面窺視著Web瀏覽器和Web服務器之間的通信,但也被用于其他在線服務,如電子郵件和即時消息。

  對于安裝了一項被稱為完美前瞻安全保護的功能的網站和其他人而言,這個問題的嚴重程度相對較低。這一功能改變了安全密鑰,由此,過去和將來的流量都不會被解密,即使一個特定安全密鑰被獲取。雖然大型網絡公司正在擁抱完美前瞻安全保護,但這一功能還遠遠沒有普及。

  在過去的六個月中,LastPass已經使用了完美前瞻安全保護;不過,據設想,此前的證書可能已經被泄露。“這個bug已經存在很長一段時間了,“Siegrist說。“我們必須設想我們的私鑰被泄露了。現在,我們將重新頒發證書。”

我要評論

評論

我來說兩句


    熱點:[an error occurred while processing this directive]
' 青海快三今天推荐号