它已经是一个月,因为Stucpleed Bug向Speckede脱掉了踩踏事件,以从网络齿轮到安全软件的所有内容,因为它很快就是显而易见的,openssl加密代码的易受攻击的版本已被广泛地部署。
 |
|
 |
怀斯的两个原因并没有真正改变任何事情 |
|
Heartbled(CVE-2014-0160):解决问题的概述以及修复它所需的资源 |
|
以下是患有Heartbleed缺陷的网络装备的选项(提示:没有很多) |
|
你需要了解的是sullbled和openssl |
|
Heartbled Aftermath - 接下来是什么? |
|
服务器制造商冲出了Heftbleed补丁 |
|
|
|
Heartbled,例如,这将让一位精明的攻击者捕获密码或数字证书,例如震惊openssl集团披露它4月7日,因为它影响了全世界的60%的服务器......等等。但是有些害怕的灾难都是灾难吗?
到目前为止,共识似乎是否定的,尽管有些人认为蚕食基于令人毛骨悚然的分手并不容易。尽其所有,Heartbleed一直是广大人物的不便,因为密码和证书被交换出来,在全球各地的一个修补马拉松。
“它最终并不是那么容易利用,”CTO在CO3系统中的CTO Bruce Schneier说。Schneier是一种加密专家,初步标记为exceplyseds,因为openssl的普遍用途,令人震惊了一个“灾难性”事件。“我们在野外看到了一些黑客和罪犯,但不是那么多。”
但令人痛心引起的动荡 -两年前制作的编码错误显然,由德国软件开发人员向前承认错误 - 由于网络和安全行业的广泛条件,在众多圆形时刻来调查他们自己的产品的脆弱性令人心碎的版本经常嵌入其中。但并非所有OpenSSL版本都很脆弱。
思科事件响应小组概述了“359思科产品和服务使用openssl或相关变体”,“思科发言人Nigel Glennie说。“这些中的281人被证实不受脆弱性影响,并且78确认为受影响。其中41个已经提供了补丁。“
截至今天,思科仍在调查VMware的产品思科虚拟安全网关。自4月9日起,思科已向其安全咨询进行了19条修订。思科正在向客户发出一个“Heartbleed Bug:评估指南”,这是一个六页的参考,解释了OpenSSL问题的性质以及如何修复它。
“每个人都在使用Openssl,”Forescout Technologies技术副总裁Gil Friedrich说,它表示,它在它被众所周知的前24小时内修复了自己的Heldbleed产品问题。他说,ForeScout还通过分析他们在其网络中使用的易受攻击的openssl的产品来帮助银行客户。
Mandiant,现在是Fireeye的一部分,在4月中旬表示,黑客因为Helfbled而进入了一个客户的网络。有一些关于令人毛骨悚然的随机报告,例如,当阿杜国的加拿大税务局暂时在税收暂时关闭其网站后,在黑客闯入它并偷走900个社会保险号码后。
但是,安全行业的许多人说似乎攻击患有蹩脚的缺陷似乎似乎很常见。
“您没有看到很多漏洞利用,”英特尔安全的先进威胁研究主任Jim Walter说(McAfee正在通过英特尔收购后的新名称)。“我们只有少数关于数据违规的报告。”
信用:路透社/标记Blinch
由于对Hellbleed Bug的关注,加拿大税收局网站于4月9日暂时关闭税收。
沃尔特说,一个解释是令人窒息的,这让一位精明的攻击者从内存中获取了56K的数据,这不是在互联网上出去的最好方法并偷东西。“你对你回来的所有人都没有控制,”他指出。“有更简单的方法来获取东西。”
赛门铁克也没有看到广泛的大规模攻击的证据,但赛门铁克的安全专家Kevin Hayley表示,这种攻击“要求您查看日志文件”以找到它的证据。
In terms of attacks based on Heartbleed, “we’ve definitely seen this as a proof of concept,” says Hugh Thompson, chief security strategist and senior vice president at Blue Coat, which has an SSL visibility appliance that can break open SSL traffic to inspect it. He says Heartbleed attacks can be hard to identify because they can look like an odd web transaction. “This one’s tough,” he says.
Crowdstrike的CTO DMitri Alperovitch说,如果只是因为最低,公司和个人需要替换所有私钥和更改可能已经暴露在易受攻击系统的密码的密码。他说,在狂野的疯狂漏洞中有针对性的攻击来劫持用户VPN会议,以获得内部公司资产。
“杠杆的杠杆性并不困难,”Alperovitch说。“虽然在每个智慧的请求中只返回来自内存中的64k数据是真的,但是可以多次启动请求以以自动方式检索更多数据。对Web服务器进行了攻击以检索私有SSL键已在10小时内完成。“
在Hellbled后,是否有理由感到沮丧的开放源代码开发过程?
“开源代码不是邪恶的,”沃尔特说。开源“促进了编码中的大量开发和创造力”,以及今天市场上的大多数产品使用它。
尽管如此,震惊的震惊促使几个行业的沉重击球手在一起开始,以启动所谓的“核心基础设施倡议“在Linux基础上。这一多百万美元的项目,由亚马逊Web服务,思科,戴尔,Rackspace,Facebook,富士通,谷歌,IBM,英特尔,Microsoft,NetApp,VMware和Linux基础支持,应该帮助资金“关键开发人员和其他资源“协助提高开源安全性,用openssl作为第一个项目。
“这是一个很好的主意,”施奈尔说,他说他正在参与其中。“我们肯定需要更多协调在开源软件上进行安全评审。关闭与开源的特征是大教堂与集市。事实证明,即使是义卖众也可以使用一点点大教堂。“
Ellen Messmer是网络世界,IDG网站的高级编辑,在那里她足球竞猜app软件涵盖了与信息安全相关的新闻和技术趋势。Twitter:Messmere。电子邮件:emesser@nww.com.