移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

赛门铁克解析Heartbleed缝隙暗藏威胁

时间:2014-04-21 11:27来源:TuZhiJiaMi企业信息安全专家 点击:
当前业界对Heartbleed缝隙的存眷点大年夜部门都聚焦在那些易受报复打击的公共收集上,但实际上,其所酿成的侵害,尽不但限于此。赛门铁克觉得,当然此刻大年夜大都主流网站的安然办法已
Tags安全头条(45)赛门铁克(131)网络威胁(394)Heartbleed(5)  

  当前业界对Heartbleed缝隙的存眷点大年夜部门都聚焦在那些易受报复打击的公共收集上,但实际上,其所酿成的侵害,尽不但限于此。赛门铁克觉得,当然此刻大年夜大都主流网站的安然办法已相对完美,但这其实不料味着终端用户可以安枕无忧了。

  Heartbleed对客户端软件及硬件办事器的暗藏威胁

  因为Heartbleed可能会影响到良多客户端软件,包含收集、邮件、聊天东西、FTP、移动利用、VPN、乃至软件进级东西等等,都可能接见会面对Heartbleed的威胁。简单来讲,任何经由过程有缝隙的OpenSSL(开放源代码的安然套接层),或利用SSL/TLS安然和谈进行通信的客户,都有可能会遭到收集报复打击。 别的,Heartbleed不但会对网页办事器造成威胁,同时还会威胁到其他良多类型的办事器的安然,此中包含代办署理办事器、介质办事器、游戏办事器、数据库办事器、聊天办事器和FTP办事器等。总之,该缝隙可以对几近所有硬件设备带来安然威胁,例如路由器、程控互换机(商务德律风系统)和经由过程“物联网”联接的各类设备。

  解析操纵Heartbleed缝隙的首要报复打击编制

  经由过程Heartbleed缝隙对软件及硬件办事器进行报复打击的编制,与针对有缝隙的网站所策动的报复打击编制近似。 但是,其针对用户进行报复打击的编制,则有两种完全不合的路径。一般来讲,操纵Heartbleed策动的报复打击凡是是被传染的用户发送病毒到安然防护办法不足的办事器,随后办事器上的隐私信息遭到泄漏。但是,一种完全相反的报复打击路径也能够见效。安然意识亏弱的用户连接至办事器以后,办事器会发送歹意的Heartbeat信息给该用户,从而盗取用户内存中存储的大年夜量信息,此中很有可能包含一些认证信息或其他用户的隐私数据。

http://www.symantec.com/connect/sites/default/files/users/user-2598031/Heartbleed-3486810-fig1-v2.png

  图片 1. Heartbleed既可以直接报复打击办事器,也能够反过来将安然意识亏弱的用户作为冲破口

  令人感应荣幸的是,虽然用户本身是一个亏弱点,可是报复打击者要想在实际环境下经由过程这类编制对用户进行报复打击,也并不是易事。黑客策动报复打击的路子首要有两个,一个是引诱用户拜候已被传染的SSL/TLS办事器,另外一个是经由过程一个并没有联系关系性的缝隙来劫持连接路径。但不管是采纳哪一种编制,对报复打击者来讲都是有难度的。下面我们就来阐发一下这两种编制:

  引诱用户拜候携带病毒的办事器。经由过程安然办法其实不完美的收集浏览器进行收集拜候,是最易利用户遭到传染的编制。报复打击者仅需引诱用户拜候歹意URL网址,便可以经由过程携带病毒的办事器来读取用户的收集浏览器内存。用户此前的姑且cookies数据、收集拜候数据、格局数据和认证证书等数据,都很等闲被报复打击者盗取。

  不外,除不容易遭到Heartbleed威胁的NSS(收集安然办事)库以外,今朝大年夜大都主流收集浏览器利用的其实不是OpenSSL。但是也有例外,良多号令行网页用户利用的倒是OpenSSL(例如wget 和curl ),是以他们很等闲蒙受Heartbleed的风险。

  劫持连接路径。假定一个报复打击者想要引诱客户拜候携带病毒的办事器,则他们需要操纵社会工程学,并找到那些最等闲被拐骗的收集用户。不外,良多用户常常只会拜候预设的硬编码域名,可是即便是这类环境,也很有可能会遭到报复打击。好比说经由过程WiFi等公开的共享收集,报复打击者就可以看到用户的收集拜候环境,并且可以或许对其进行窜改,从而对安然防备意识亏弱的用户策动报复打击。一般来讲,采取SSL/TLS(例如HTTPS等加密收集浏览模式)可以有效解决上述标题问题,因为该加密编制可以禁止报复打击者***或窜改收集。不外, 报复打击者仍然可以抢在SSL/TLS和谈还没有完全成立之前,向用户发送携带病毒的Heartbleed信息,从而盗取用户计较机内存中的敏感信息或小我隐私。

http://www.symantec.com/connect/sites/default/files/users/user-2598031/Heartbleed-3486810-fig2.png

  图片 2. 揭露报复打击者若何劫持带有Heartbleed缝隙的OpenSSL收集联接路径,并以安然意识亏弱的用户作为冲破口,从而传染办事器,获得计较机内存上的敏感数据

  除帮忙大年夜家充分体味Heartbleed可能酿成的威胁和报复打击编制以外,赛门铁克也为帮忙广大年夜用户更好的防备暗藏的报复打击威胁提出了一些建议:

  · 对企业用户的建议:

  o 利用OpenSSL 1.0.1 f版本的企业,该当进级到最新批改版OpenSSL 1.0.1 g,或删除heartbeat扩大,对OpenSSL进行从头编译。

  o 已进级到OpenSSL批改版的用户,假定在利用过程中发现收集办事器证书被盗,请联系证书授权机构,领取新证书。

  o 最后,作为最好安然实践,企业应考虑从头设置终端用户暗码,以避免这些暗码信息因为办事器内存被盗而泄漏。

  · 对消费者的建议:

  o 消费者们需寄望,假定您所拜候的网站利用OpenSSL库的缝隙版本,诸如暗码等敏感数据将有可能被第三方发现。

  o 寄望任何来自软件供给商的通知。一旦供给商提示您点窜暗码,请尽快点窜。

  o 对要求您更新暗码的疑似垂钓邮件,请保持警戒。避免拜候子虚网站,对峙拜候供给商的官方网站。

  o 对峙拜候驰名网站和办事,它们常常在第一时候对缝隙进行修复。

  o 寄望本身的银行卡信息和诺言卡信息,查看是不是有不正常生意。

------分隔线----------------------------

推荐内容