你的位置:BNET商学院>运营与创业>市场观察>文章页
网络安全的“心脏出血”漏洞将密码暴露于黑客眼前
字号:

时间: 2014-04-15 来源:BNET 商学院 作者:Stephen Shankland

转发: 腾讯微博 推荐到豆瓣豆瓣 人人网 网易

关键字:网络安全
被称为“心脏出血”的新的大漏洞可以让攻击者获取用户密码,并愚弄人们去使用伪造版本的网站。一些人说他们已经因此发现雅虎的密码了。

网络安全的“心脏出血”漏洞将密码暴露于黑客眼前  

     被称为“心脏出血”的新的大漏洞可以让攻击者获取用户密码,并愚弄人们去使用伪造版本的网站。一些人说他们已经因此发现雅虎的密码了。

  上周一晚间公布的这一个问题存在于一个被称为OpenSSL的开源软件中,该软件是用于加密网络通信的。“心脏出血”可以透露存储最敏感的数据的服务器中的内容;这就包括私有数据,如用户名、密码和信用卡号码。这也意味着攻击者可以得到服务器数字秘钥的复件,然后用来模拟服务器或解密从前,甚至是以后的通讯。

  安全漏洞经常出现,但这次是最为严重的。它不仅要求网站进行大幅度修改,它还可能需要网络使用者更改密码,因为他们可能会被拦截。随着越来越多的人们的生活内容搬到了网上,并将密码也在诸多网站中循环利用,不想费事的去修改一下,结果这成了一个大问题。

  “透过‘心脏出血’这个漏洞,我们能揭开雅虎用户名以及密码,”在显示了一个受到审查的例子之后,安全公司Fox-IT的罗纳德?普林斯在推文中说到。开发人员斯科特Galloway补充说,“现在,让我的‘心脏出血’的脚本运行5分钟,就会有一份200个雅虎邮箱用户名和密码的列表…小事一桩!”

  Yahoo声称,在刚过中午的时候,他就修复了其主要站点的这一最大漏洞,“当我们意识到这个问题时,我们就开始了修复工作。我们的团队已经成功地对雅虎的主要属性(雅虎主页,雅虎搜索,雅虎邮箱,雅虎财经,雅虎体育,雅虎食物,雅虎科技,Flickr和Tumblr)做出适当的修正,我们现在正努力实现修复我们的网站中剩余的部分。我们专注于为全球用户提供最安全的体验,并且不断的努力保护我们的用户数据。”

  然而,雅虎并没有提供用户应该做什么或者对他们的影响在哪里的建议。

  开发人员和密码顾问Filippo Valsorda公布了一个让人们检查网站上“心脏出血”漏洞的工具,。这个工具显示谷歌、微软、Twitter、Facebook、Dropbox,和其他几个主要网站没有受到影响,但雅虎不是。Valsorda的测试是,在使用“黄色潜水艇”这些词进行交流之后,使用“心脏出血”在一个服务器的存储中检测单词“黄色潜水艇”。

  其他Valsorda的工具显示为脆弱网站包括还Imgur,OKCupid,Eventbrite。

  这一漏洞正式命名是CEV - 2014 - 0160,但被Codenomicon安全公司赋予了“心脏出血”这样一个更迷人的俗称。该问题是由上述公司与谷歌研究人员Neel Mehta共同发现的。

  “它泄露了识别服务提供者的秘钥以及加密用户流量,用户名和密码,以及实际内容的秘钥,“Codenomicon说。“这允许攻击者窃听通信、窃取数据直接从服务和用户,并模仿服务和用户。”

  为了测试漏洞,Codenomicon 将“心脏出血”应用在自己的服务器上。“我们从外部攻击自己,并没有留下痕迹。在不使用任何特权信息或证书的情况下,我们可以窃取我们用于X.509证书的密钥,用户名和密码、即时消息、电子邮件和业务关键文件和通讯。”该公司表示。

  然而,帮助关闭了OpenSSL漏洞的谷歌安全专家Adam Langley说他的测试结果并没有披露如密钥这般敏感的信息。“测试OpenSSL“心脏出血”的补丁时,我从未获得来自服务器的关键资料,只是一些旧的连接缓冲(尽管包括了cookies)。”Langley在Twitter上说。

  据发言人Joe Siegrist说,受此漏洞影响的公司之一是密码管理者LastPass,但是该公司上周二上午5:47升级了服务器。“LastPass相当独特,几乎你的所有数据又都进行了一个连LastPass服务器也不会获得的加密秘钥,所以这错误不可能接触客户的加密数据,“Siegrist补充道。

 

  根据上周一晚上OpenSSL项目的顾问所言,OpenSSL公布的1.0.1版和1.0.2测试版本,以及附带很多版本的Linux用于流行的Web服务器的服务器软件都深受此漏洞之害。OpenSSL发布了版本1.0.1g来修复这个漏洞,但很多网站运营商将不得不努力更新软件。此外,他们将不得不撤销现在可能已经泄露的安全证书。

  “心脏出血是空前的。请检查您的OpenSSL 吧!”Nginx在周二的推文中发出这样的警告。

  OpenSSL是各种被称为SSL(安全套接字层)或TLS(传输层安全)的加密技术中的一种加密工具。Codenomicon说,它一直在外面窥视着Web浏览器和Web服务器之间的通信,但也被用于其他在线服务,如电子邮件和即时消息。

  对于安装了一项被称为完美前瞻安全保护的功能的网站和其他人而言,这个问题的严重程度相对较低。这一功能改变了安全密钥,由此,过去和将来的流量都不会被解密,即使一个特定安全密钥被获取。虽然大型网络公司正在拥抱完美前瞻安全保护,但这一功能还远远没有普及。

  在过去的六个月中,LastPass已经使用了完美前瞻安全保护;不过,据设想,此前的证书可能已经被泄露。“这个bug已经存在很长一段时间了,“Siegrist说。“我们必须设想我们的私钥被泄露了。现在,我们将重新颁发证书。”

我要评论

评论

我来说两句


    热点:[an error occurred while processing this directive]
'