心脏出血[编辑]
基本情况:
心脏出血,英文heartbleed,OpenSSL安全漏洞,该漏洞可导致攻击者获得服务器上64K内存中数据。
漏洞描述:
Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。
历程:
发迹于2014年4月7日,国外程序员发现该漏洞。2014年4月8日,黑客白帽开始一场入侵与防入侵的战斗,2014年4月9日,一位安全人士通过该漏洞尝试读取数据,成功获取用户信息。
技术原理:
获取密码
2014年4月9日,Heartbleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
入侵技术
SSL(安全套接层)协议是使用最为普遍网站加密技术,而OpenSSL则是开源的 SSL 套件,为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用 https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。
Heartbleed漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的 Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。
检测工具
史上最严重的资安漏洞OpenSSL的Heartbleed漏洞,攻击全球三分之二的网站,如何自保。
所幸网络上出现多种Heartbleed漏洞检测服务,可以让民众检查正在此用的网路服务是否安全,若是不安全的网站,就避免使用任何与帐号、密码有关的交易功能。
网络服务提供者也应该利用这些工具,即刻检查自己维护的伺服器,避免因Heartbleed漏洞而受到攻击,导致用户资料被窃。
Heartbleed test
意大利资安专家Filippo Valsorda (@FiloSottile)率先开发出来的Heartbleed检测工具,以模拟OpenSSL Heartbleed漏洞的入侵方法,开发出来的检测工具。只要输入网站的网址,便可以测试网站是否受Heartbleed漏洞影响。例如输入妈妈经网站,就发现妈妈经失血了。
ossible.lv Heartbleed test
由资安公司Possible.lv开发的Heartbleed检测工具,只要输入网址就可以测试网站是否受Heartbleed漏洞影响。
LastPass Heartbleed Checker
由密码管理工具厂商LastPass开发的检测工具,只要输入网址便可以测试网站是否受Heartbleed漏洞影响。
Qualys SSL Labs Server Test
由Qualys SSL LABS提供的SSL测试,不仅可以测试伺服器是否受Heartbleed漏洞影响,还可以为伺服器的加密安全性评等。
Chrombleed
Heartbleed来袭,但上网不用怕,Chromebleed是Google Chrome浏览器的扩充功能,只要安装之后,在每一次浏览网页时,便会主动弹跳出网页是否受Heartbleed漏洞影响的讯息。
影响:
通过读取网络服务器内存,攻击者可以访问敏感数据,从而危及服务器及用户的安全。
由于使用OpenSSL的互联网企业众多,受影响的企业也很多,使用ZoomEye系统扫描发现在中国大约有33303台机器OpenSSL漏洞影响,而比这更令人惊心的是,这些设备多为银行网银,第三方支付,电商网站,即时通讯系统等。
因此心脏出血该漏洞对网上交易产生极大的威胁。
防护:
自漏洞爆出之后,黑客与安全专家开始一场博弈,一边不断探测服务器,收集用户信息,一边不断升级系统,弥补漏洞。
为了保障用户信息安全,具体对用户提出以下建议:
1.不要在受影响的网站登录账号
2.收到网站安全修补确认,立即修改银行等敏感账号密码
自xp停止服务以来,心脏出血又一次将网络安全推向了公众的视线,网络安全越来越影响更多人的隐私问题,加强网络安全的防护已经刻不容缓。
网络营销词典内容均由网友提供,仅供参考。如发现词条内容有问题,请发邮件至info # wm23.com。