一个月前,“心脏出血”漏洞引发了一场从网络设备到安全软件的补丁风潮,因为很明显,OpenSSL加密代码的漏洞版本已经被广泛部署。
 |
|
 |
“心脏出血”并不能真正改变什么,有两个原因 |
|
Heartbleed (CVE-2014-0160):问题概述和修复它所需的资源 |
|
下面是一些网络设备有缺陷的选项(提示:并不是很多) |
|
你需要知道的关于心脏出血和OpenSSL |
|
心脏出血的后果-下一个是什么? |
|
服务器制造商匆忙推出心脏出血补丁 |
|
|
|
例如,“心脏出血”可以让精明的攻击者捕获密码或数字证书OpenSSL集团披露了它因为它影响了全球约60%的服务器……甚至更多。但这真的是一些人担心的灾难吗?
到目前为止,一致的意见似乎是否定的,尽管有些人认为确定基于心碎的入侵是不容易的。充其量,“心脏出血”在世界各地都是一个巨大的不便,因为在全球范围内,密码和证书都被更换成了一场补丁马拉松。
Co3系统公司的首席技术官Bruce Schneier说:“它最终并不是那么容易被利用的。”Schneier是一名加密专家,由于OpenSSL的广泛使用,他最初将Heartbleed称为“灾难性”事件。“我们看到一些黑客和犯罪分子在使用它,但没有那么多。”
但是“心脏出血”造成的剧变——两年前的一个编码错误显然是由一个德国软件开发人员站出来承认错误——绝对是巨大的广泛网络和安全行业发现无数的24小时小时后调查自己的产品,OpenSSL的脆弱Heartbleed版本通常是嵌入在他们。但并不是所有的OpenSSL版本都存在漏洞。
思科事件反应小组已经确定大约“359种思科产品和服务使用OpenSSL或相关变体,”思科发言人Nigel Glennie说。“其中281个已确认不受脆弱性影响,78个已确认受到影响。其中41个已经提供了补丁。”
截至今日,思科仍在调查针对VMware的产品Cisco Virtual Security Gateway。自4月9日以来,思科已经对其关于“心脏出血”的安全建议进行了19次修订。思科正在向客户分发一份长达6页的“心脏出血漏洞评估指南”(Heartbleed Bug: Assessment Guide),解释了OpenSSL问题的性质以及如何补救。
“每个人都在使用OpenSSL,”ForeScout Technologies的技术副总裁吉尔•弗里德里希(Gil Friedrich)说。该公司表示,在产品被发现后的24小时内,他们就解决了产品的“心脏出血”问题。他说,ForeScout还帮助银行客户分析了他们在网络中使用的OpenSSL脆弱产品。
现为火眼公司(FireEye)一部分的Mandiant在4月中旬说,黑客侵入了一位客户的网络,原因是“心脏出血”。还有其他一些关于“心脏出血”问题的随机报道,比如加拿大税务局在四月份在缴税季节期间暂时关闭了其网站,原因是黑客入侵了该网站,偷走了900个社会保险号码。
但安全行业的许多人说,利用“心脏出血”漏洞进行的攻击似乎并不常见。
英特尔安全公司(McAfee在被英特尔收购后更名为英特尔)高级威胁研究主管吉姆•沃尔特表示:“在这方面你不会看到很多漏洞。”“我们只有几份关于数据泄露的报告。”
来源:路透社/马克Blinch
由于担心“心脏出血”漏洞,加拿大税务局网站在4月9日收税季节期间被暂时关闭。
沃尔特说,一种解释是,让精明的攻击者从内存中获取56K数据的“心脏出血”并不是进入互联网并窃取东西的最佳方式。他指出:“你根本无法控制自己能得到什么。”“有更简单的方法可以得到东西。”
赛门铁克也没有发现大规模大规模攻击的证据,但赛门铁克的安全专家Kevin Hayley表示,这种类型的攻击“需要您查看日志文件”,以找到针对您的企业的证据。
就基于Heartbleed的攻击而言,“我们肯定把它看作是一个概念的证明,”Blue Coat的首席安全策略师和高级副总裁休·汤普森(Hugh Thompson)说。Blue Coat有一个SSL可见性设备,可以攻破SSL流量并进行检查。他说,“心脏出血”攻击很难识别,因为它们看起来像是一种奇怪的网络交易。“这很难,”他说。
CrowdStrike的首席技术官Dmitri Alperovitch表示,“心脏出血”之所以“令人讨厌”,仅仅是因为公司和个人至少需要更换所有可能暴露在“心脏出血”脆弱系统上的私人密钥和密码。他说,已经有针对性地利用“心脏出血”的漏洞,劫持用户的VPN会话,以获得访问公司内部资产的权限。
“利用‘心脏出血’并不是非常困难,”Alperovitch说。虽然在每个Heartbleed请求中,只有64K的数据从内存中返回,但是请求可以被多次启动,以自动方式检索更多的数据。为获取私人SSL密钥而对web服务器进行的攻击在10小时内就完成了。”
在Heartbleed之后,有理由对开源代码开发过程感到沮丧吗?
“开放源代码并不是邪恶的,”Walter说。开源在编码方面“培养了大量的开发和创造力”,现在市场上的大多数产品都使用它。
尽管如此,“心脏出血”事件的震惊还是促使几位业内重量级人物联合起来,开始了所谓的“心脏出血”。核心基础设施计划“在Linux基金会。这个由亚马逊网络服务、思科、戴尔、Rackspace、Facebook、富士通、谷歌、IBM、英特尔、微软、NetApp、VMware和Linux基金会支持的数百万美元的项目,旨在资助“关键开发人员和其他资源”,以帮助改善开源安全,其中OpenSSL被列为第一个项目。
“这是个好主意,”Schneier说,并表示他正在参与其中。“在对开源软件进行安全审查方面,我们确实需要更多的协调。封闭与开放被描述为大教堂与市集。事实证明,即使是集市也需要一点大教堂的味道。”
Ellen Messmer是IDG网站Network World的高有个足球雷竞技app级编辑,她在该网站上报道与信息安全相关的新闻和技术趋势。Twitter: MessmerE。电子邮件:emessmer@nww.com