iT邦幫忙

0

「核彈級漏洞」OpenSSL Heartbleed 是什麼,我們又該怎麼補救?

其實我是有看沒有懂駭客

此篇轉自網路...
http://share.inside.com.tw/posts/4457
SSL 可能是大家接觸比較多的安全協議之一,看到某個網站用了 https:// 開頭,就是採用了 SSL 安全協議。而 OpenSSL,則是為網路通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及 SSL 協議,並提供了豐富的應用程式供測試或其它目的使用。OpenSSL 是一種開放源始碼的 SSL 實現,用來實現網路通訊的高強度加密,現在被廣泛地用於各種網路應用程式中。

換句話講,OpenSSL 其實就是網路上銷量最大的鎖。而昨天,這把鎖出現了問題。OpenSSL 曝出重大安全漏洞—「 Heartbleed Bug 」Google 和網路安全公司 Codenomicon 的研究人員發現,OpenSSL Heartbleed 模組存在一個 BUG:

簡單的說,駭客可以對使用 https(存在此漏洞) 的網站發起攻擊,每次讀取伺服器內存中 64K 數據,不斷的反覆獲取,內存中可能會含有使用者 http 原始請求、使用者 cookie 甚至明文帳號密碼等。有網友測試了世界最流行 ​​的 1000 家網站,結果 30%~40% 的都有問題。
除此之外,這個漏洞受到這麼多人重視還有別的原因:

這個漏洞已長時間存在,只是在昨天才被曝出。所以很難估計到底有多少網站,多少使用者的資料被竊取。
這個漏洞很容易被駭客利用。
不留痕跡。這可能是最關鍵的問題,網站無法知道是誰竊取了使用者信息,很難追究法律責任。
這一漏洞的官方名稱為 CVE-2014-0160。該漏洞影響了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本並沒有受到影響。OpenSSL 已經發表了 1.0.1g 版本,以修復這一問題,但網站對這一軟體的升級還需要一段時間。不過,如果網站配置了一項名為「perfect forward secrecy」的功能,那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰,因此即使某一特定密鑰被獲得,攻擊者也無法解密以往和未來的加密數據。

如何應對該漏洞?
個人使用者防禦建議:

各個網站修復這個漏洞都可能需要 1-3 天的時間,有些反應較為迅速的網站可能修復的更快。只要等有漏洞的網站修復完成就能登陸了。當然,若還是不放心,你還可以點擊這裡或者點擊這裡查看自己要登陸的網站是否安全。對已經不小心登陸過這些網站的使用者,可以修改一下 ​​密碼。

除此之外,密切關注未來數日內的財務報告。因為攻擊者可以獲取伺服器內存中的信用卡訊息,所以要關注銀行報告中的陌生扣款。

企業防禦建議:

升級到最新版本 OpenSSL 1.0.1g。無法立即升級的使用者可以以 -DOPENSSL_NO_HEARTBEATS 開關重新編譯 OpenSSL。而 1.0.2-beta 版本的漏洞將在 beta2 版本修復。當然,升級後別忘記提醒使用者更改密碼、提醒雲端服務使用者更新 SSL 密鑰重複證書。


0
賽門
iT邦超人 1 級 ‧ 2014-04-10 13:27:42

一篇轉載又轉載的文章...
說是核彈級,太超過了。

Ethan Jhuang iT邦研究生 3 級‧ 2014-04-10 13:32:54 檢舉

所以其實沒有很嚴重阿?
我想說it邦還沒看到 就轉過來...

0
丁丁 (Dean)
iT邦大師 6 級 ‧ 2014-04-10 16:53:23

et54987提到:
Heartbleed

=> 叫心在滴血, 不是叫核彈... 這英文是要給誰笑的!? XD

我要留言

立即登入留言