横扫千军的心脏出血漏洞
日前,互联网基础组件OpenSSL爆出“心脏出血”漏洞,此漏洞也被广泛认为是近年来危害最严重的安全漏洞,可让黑客轻松在https开头网址服务器上,实时抓取用户的账号密码。OpenSSL“心脏出血”漏洞给邮箱系统和VPN系统带来重大安全威胁。由于这些产品和服务修复方案不统一,进而影响了整体修复进程。360网络攻防实验室发布的最新数据显示,在全球未修复该漏洞的221万台主机中,近四成涉及邮件系统和企业VPN服务。
黑客窃秘
据英国广播公司4月14日报道,加拿大警方日前指控19岁男子史蒂芬·索利斯-雷耶斯侵入加拿大税务局网站窃取了900个社保号码。
加拿大警方在声明中称,索利斯-雷耶斯于4月11日利用“心脏出血”漏洞窃取了900位加拿大公民的个人信息。经过4天调查,加拿大警方追查到这名嫌疑人,没收了他的电脑设备。
当局决定以“非法使用电脑”和“恶意破坏数据”两项罪名起诉他,索利斯-雷耶斯成为首位被因“心脏出血”漏洞而被捕和遭起诉的黑客,将于7月17日在渥太华出庭。
加拿大卡诺埃在线杂志称,索利斯·雷耶斯的父亲罗伯托·索利斯奥巴是大学计算机专业教授,他对儿子的行为“无可奉告”、“一无所知”。进入大学前雷耶斯在天主教高中——特蕾莎修女学院就读,以前的同学形容他“很聪明但不合群”。
漏洞描述
“心脏出血”漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。2014年4月7号,程序员Sean
Cassidy则在自己的博客上详细描述了这个漏洞的机制。
SSL(安全套接层)协议是使用最为普遍网站加密技术,而OpenSSL则是开源的 SSL
套件,为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用
https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。
“心脏出血”漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的
Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL
1.0.2-beta与OpenSSL 1.0.1在处理TLS
heartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。
厂商应对
OpenSSL“心脏出血”漏洞曝出后,国内各大网站、互联网服务商及安全公司迅速行动起来,及时提醒和修复存在OpenSSL漏洞的网站和服务,并推出了OpenSSL检测工具、漏洞修复软件,以最大限度降低漏洞对网友的危害。
但是,据360网络攻防实验室4月12日统计数字,虽然OpenSSL“心脏出血”漏洞已经公开曝出多天,但全球依旧有221万台主机未修复该漏洞,其中133.2万台是http网页主机,87.7万台是邮箱邮件系统主机,1778台是企业VPN服务主机。
@周鸿祎:请360的同事们发挥连续作战不怕疲劳的精神,尽快给用户提供防护的解决方案。
@360安全浏览器:360安全卫士和360浏览器对仍未修复OpenSSL漏洞的网站进行了风险预警,对于出现此类提示的网站,请小伙伴们谨慎访问,以保护您的账号密码安全!
@瑞星:OpenSSL漏洞致银行电商不再安全,黑客可轻松获取网银账密。目前,瑞星公司已紧急推出针对网站OpenSSL漏洞的免费在线检测服务,广大站长及网站管理员只需输入网站域名,即可进行自动分析检测,一旦发现漏洞可尽快修补!
@腾讯电脑管家:OpenSSL“心脏出血”漏洞的危害正在扩大,从最早泄露https网站用户的账号密码,到现在已波及windows电脑,黑客利用该漏洞配合其他漏洞可能侵入或控制用户电脑。腾讯电脑管家已推出针对该漏洞的修复功能,请尽快用电脑管家对电脑进行安全修复。
小编麻辣点评:
原文链接:http://www.hacker-hero.com/network/hacker/2014/0418/57.html
黑客窃秘
据英国广播公司4月14日报道,加拿大警方日前指控19岁男子史蒂芬·索利斯-雷耶斯侵入加拿大税务局网站窃取了900个社保号码。
加拿大警方在声明中称,索利斯-雷耶斯于4月11日利用“心脏出血”漏洞窃取了900位加拿大公民的个人信息。经过4天调查,加拿大警方追查到这名嫌疑人,没收了他的电脑设备。
当局决定以“非法使用电脑”和“恶意破坏数据”两项罪名起诉他,索利斯-雷耶斯成为首位被因“心脏出血”漏洞而被捕和遭起诉的黑客,将于7月17日在渥太华出庭。
加拿大卡诺埃在线杂志称,索利斯·雷耶斯的父亲罗伯托·索利斯奥巴是大学计算机专业教授,他对儿子的行为“无可奉告”、“一无所知”。进入大学前雷耶斯在天主教高中——特蕾莎修女学院就读,以前的同学形容他“很聪明但不合群”。
漏洞描述
“心脏出血”漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。2014年4月7号,程序员Sean
Cassidy则在自己的博客上详细描述了这个漏洞的机制。
SSL(安全套接层)协议是使用最为普遍网站加密技术,而OpenSSL则是开源的 SSL
套件,为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用
https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL技术来防止窃密及避免中间人攻击。
“心脏出血”漏洞之所以得名,是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的
Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式,但由于OpenSSL
1.0.2-beta与OpenSSL 1.0.1在处理TLS
heartbeat扩展时的边界错误,攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。
厂商应对
OpenSSL“心脏出血”漏洞曝出后,国内各大网站、互联网服务商及安全公司迅速行动起来,及时提醒和修复存在OpenSSL漏洞的网站和服务,并推出了OpenSSL检测工具、漏洞修复软件,以最大限度降低漏洞对网友的危害。
但是,据360网络攻防实验室4月12日统计数字,虽然OpenSSL“心脏出血”漏洞已经公开曝出多天,但全球依旧有221万台主机未修复该漏洞,其中133.2万台是http网页主机,87.7万台是邮箱邮件系统主机,1778台是企业VPN服务主机。
@周鸿祎:请360的同事们发挥连续作战不怕疲劳的精神,尽快给用户提供防护的解决方案。
@360安全浏览器:360安全卫士和360浏览器对仍未修复OpenSSL漏洞的网站进行了风险预警,对于出现此类提示的网站,请小伙伴们谨慎访问,以保护您的账号密码安全!
@瑞星:OpenSSL漏洞致银行电商不再安全,黑客可轻松获取网银账密。目前,瑞星公司已紧急推出针对网站OpenSSL漏洞的免费在线检测服务,广大站长及网站管理员只需输入网站域名,即可进行自动分析检测,一旦发现漏洞可尽快修补!
@腾讯电脑管家:OpenSSL“心脏出血”漏洞的危害正在扩大,从最早泄露https网站用户的账号密码,到现在已波及windows电脑,黑客利用该漏洞配合其他漏洞可能侵入或控制用户电脑。腾讯电脑管家已推出针对该漏洞的修复功能,请尽快用电脑管家对电脑进行安全修复。
小编麻辣点评:
原文链接:http://www.hacker-hero.com/network/hacker/2014/0418/57.html
