當(dāng)前位置:首頁 > 物聯(lián)網(wǎng) > 《物聯(lián)網(wǎng)技術(shù)》雜志
[導(dǎo)讀]摘要:OpenSSL的1.0.1版本和1.0.2betal版本被發(fā)現(xiàn)存在安全漏洞“heartbleed"。事實(shí)上,全球約有500萬服務(wù)器存在安全威脅,面對難以杜絕的安全漏洞,企業(yè)和產(chǎn)業(yè)需要的是在成本、安全性和系統(tǒng)的多樣性上取得平衡。

4月7日,OpenSSL的1.0.1版本和1.0.2betal版本被發(fā)現(xiàn) 存在安全漏洞“heartbleed”,全球約有500萬服務(wù)器存在安全 威脅,其中包括淘寶、微信、雅虎保存大量用戶信息的站點(diǎn)。 媒體過于專注眼前的用戶信息泄露風(fēng)險(xiǎn),而真正的問題在于漏 洞存在時(shí)間長達(dá)兩年,無法追蹤和估計(jì)這段時(shí)間內(nèi)已經(jīng)產(chǎn)生 的問題。事實(shí)上,此類漏洞的問題難以杜絕。在實(shí)踐中,企 業(yè)和產(chǎn)業(yè)需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。

 1漏洞

OpenSSL是一套開放源代碼的SSL安全套件,保障網(wǎng)絡(luò) 通信安全及數(shù)據(jù)完整性,提供基本的傳輸層數(shù)據(jù)加密功能, 由OpenSSL開源社區(qū)項(xiàng)目組進(jìn)行開放和維護(hù)。

具有漏洞的代碼自從2011年12月寫入安全套件,隨 著2012年1月份OpenSSL 1.0.1的發(fā)布,廣泛存在于使用OpenSSL 1.0.1 系列版本(從 1.0.1a 到 1.0.1f)和 OpenSSL 1.0.2betal的站點(diǎn)中。

據(jù)OpenSSL開源社區(qū)項(xiàng)目組的介紹,OpenSSL在使用 "TLS heartbeat extension"的時(shí)候,連接用戶和服務(wù)器的內(nèi)存 中有最多64 Kb的內(nèi)存空間存在信息泄露的風(fēng)險(xiǎn)。

通過讀取這部分內(nèi)存,攻擊者可能直接獲得或者拼湊出 敏感數(shù)據(jù),包括用戶名和密碼、訪問的內(nèi)容和加密流量的密鑰。 該漏洞允許攻擊者竊聽通信,并通過模擬服務(wù)提供者和用戶 盜取數(shù)據(jù);攻擊者還能夠重置有關(guān)用戶或密鑰的信息,對過去 或?qū)淼募用軘?shù)據(jù)進(jìn)行監(jiān)視。

在漏洞被暴露出來的當(dāng)天,OpenSSL開源社區(qū)項(xiàng)目組便 發(fā)布了新版本1.0.1g,修復(fù)了此問題,1.0.2-betal2版本也即將 發(fā)布。

2目前的影響

由于各方行動迅速及漏洞本身的技術(shù)特點(diǎn),自問題暴露 開始,其產(chǎn)生的風(fēng)險(xiǎn)便被迅速控制。

該漏洞使得部署OpenSSL的1.0.1版本的站點(diǎn)存在風(fēng) 險(xiǎn),但并沒有一些媒體所報(bào)道的那么夸張。他們的報(bào)道認(rèn)為, Web服務(wù)器市場占有率達(dá)66%的Apache和Nginx使用了 OpenSSL,所以具有非常大的安全隱患。這并沒有完全反映 英國互聯(lián)網(wǎng)安全服務(wù)企業(yè)Netcraft報(bào)告的內(nèi)容。

Netcraft的報(bào)告指出,這些Apache和Nginx并不是都運(yùn) 行HTTPS服務(wù),也并不都是使用具有安全漏洞的版本。根據(jù) Netcraft公司4月8日的測試,大約17.5%的SSL站點(diǎn)存在漏洞, 即全球大約有50萬網(wǎng)站存在此漏洞。

由于行動迅速,風(fēng)險(xiǎn)被迅速控制。在漏洞被公布的一天 之內(nèi),OpenSSL項(xiàng)目組就給出了新版本,在此之前,很多公 司已經(jīng)自行修復(fù)了這個(gè)漏洞。在最新的1 000個(gè)主要站點(diǎn)安全 新測試中(4月8日,12:00, UTC),有512家沒有采用SSL, 441家采用了 SSL但是沒有受到威脅(包括已經(jīng)做好升級工 作),只有47家還存在安全漏洞,含兩家中國站點(diǎn),這兩家站 點(diǎn)目前(4月9日,3:30, UTC)也已完成漏洞修補(bǔ)。

由于漏洞本身的特點(diǎn),從4月7日問題暴露開始算起,造 成的危險(xiǎn)并不會很大。首先,由于64 Kb可讀取存儲的容量限 制,攻擊者需要時(shí)間和運(yùn)氣來獲得可用的用戶信息,尤其是推 算出像私鑰一類數(shù)據(jù)的可能性并不是很大;第二,一些軟件本 身不使用SSL,比如Chrome和Firefox瀏覽器使用NSS。但是, 由于漏洞時(shí)間較長,目前最大的風(fēng)險(xiǎn)在于此次漏洞暴露之前所 造成的損失尚無法估計(jì)。

3真正的問題

眼前的問題已經(jīng)迅速得到控制,可真正的問題是無法估 計(jì)已經(jīng)產(chǎn)生的問題的大小。漏洞自從2012年隨著1.0.1版本發(fā) 布,已經(jīng)存在兩年,而對內(nèi)存訪問并不會留下日志,沒有多層 監(jiān)控能力的網(wǎng)站根本無法追蹤過去的訪問。

所以,難以估計(jì)有多少站點(diǎn)的已經(jīng)被攻擊,已經(jīng)有多少信 息被泄露,以及目前有多少通信是被監(jiān)控的,也就無法進(jìn)行 有針對性的補(bǔ)救。

4成本安全和系統(tǒng)多樣性

“Heartbleed”漏洞的問題事實(shí)上難以杜絕,企業(yè)和產(chǎn)業(yè) 需要在成本、安全性和系統(tǒng)的多樣性上取得平衡。

開源安全系統(tǒng)由于安全性高、開放和低成本,被很多公 司所采用。開放保證了源代碼可以被很多人檢查,低成本帶來 的大量使用又使得潛在安全問題被及早發(fā)現(xiàn),有利于安全性 持續(xù)提高。

但問題在于,使用量大增加了安全風(fēng)險(xiǎn),這次的“heart bleed”就是一個(gè)典型案例。網(wǎng)站在使用開源系統(tǒng)的時(shí)候,需 要進(jìn)行完善的安全測試和規(guī)劃,在成本和安全性上取得平衡。

從產(chǎn)業(yè)生態(tài)系統(tǒng)來說,多樣性是降低風(fēng)險(xiǎn)的有效途徑。 實(shí)際上,從2001年以來,OpenSSL暴露出過近60次安全漏洞, 只不過這次比較嚴(yán)重。有程序員認(rèn)為,OpenSSL的安全問題 是由OpenSSL使用C語言編寫代碼帶來的。這種更為深層次 的問題實(shí)際上難以解決,企業(yè)層面比較容易的方案是采用復(fù) 合的安全機(jī)制,從產(chǎn)業(yè)層面而言則是要保持安全系統(tǒng)的多樣 性。

20211120_6198f641dc5da__應(yīng)對0 penSS L安全漏洞需要多方平衡

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉