日子像平原走馬,一撒手,便無影蹤。據「心臟滴血」安全漏洞被發現,轉瞬六年已過,你還記得當初的恐懼嗎?
那一夜,網際網路門戶洞開
2014 年 4 月 7 號,谷歌工程師NeelMehta發現了名為「心臟滴血」的openssl漏洞:黑客通過簡單的方法進行攻擊,就可以不費吹灰之力拿到用戶和網站的隱私。這就像一枚核彈爆炸,讓全球大多數網站的密文傳輸系統瞬間崩塌。
瞬時間,網際網路界迎來了腥風血雨,眾多世界知名網際網路公司為之一顫,國內網際網路企業同樣陷入了兵荒馬亂之中,幾乎所有的安全公司、安全隊伍都陷入忙碌狀態,無一倖免。
甲方公司緊急進行openssl版本升級,關閉核心關鍵業務進行補丁修復;乙方公司日夜奮戰對openssl進行補丁升級、漏洞複測、新環境部署、新環境上線等;做黑產的黑客們也在積極進行資料收集,拿取更多的敏感數據,更好的開展黑產業務;而各大src平臺則被白帽子提交的漏洞刷屏……
Heartbleed安全漏洞會削弱 SSL與 TSL兩大常見網際網路通信協議的安全性。受到Heartbleed影響的網站,允許潛在的攻擊者讀取用戶的訪問歷史。換言之,精心謀劃的網絡罪犯可以藉此找出用戶的加密密鑰。
一旦加密密鑰外洩,惡意攻擊者將能夠獲取入侵系統所必需的憑證(包括用戶名與密碼)。在系統內部,入侵者還能利用失竊憑證所對應的授權級別發動更多後續攻擊、竊聽通信內容、頂替用戶並奪取數據。
六年已過,風波依舊
如今,距離Heartbleed漏洞的最初披露已經過去了六年,但它仍然廣泛存在於眾多伺服器及系統當中。當然,OpenSSL的最新版本已經做好了修復,但尚未(或者無法)升級至修復版本的OpenSSL系統仍會受到這項漏洞的影響,且極易受到攻擊。
對於惡意攻擊者而言,只要能找到Heartbleed漏洞,接下來就一切好辦:他們可以自動進行檢索,然後輕鬆完成入侵。在找到這類易受攻擊的系統之後,利用過程相當簡單,由此獲得的信息或憑證也能幫助他們快速推進其他後續攻擊。
你要做的是
雖說「Heartbleed」的攻擊模式很難被察覺,但是這並不意味著用戶就只能坐以待斃。用戶可以通過天威誠信自主研發的證書智能管理系統檢測自己的網站是否需要升級OpenSSL版本,而且有些像Chrome以及火狐等第三方瀏覽器提供的擴展功能還可以進行隨機自檢,以避免被攻擊。
此外,天威誠信提醒您保護自己不受Heartbleed漏洞影響的最佳方式是:你不僅要更新你的密碼,而且要確保你選擇的密碼不被輕易地破解。
在網際網路飛速發展的今天,一些協議級、基礎設施級漏洞的出現,可能會打擊人們使用網際網路的信心,但客觀上也使得問題及時暴露,在發生更大的損失前及時彌補。作為身處其中的個人或企業,主動應變、加強自我保護,可能比把安全和未來全部託付出去要負責任一些。