您的位置: 网界网 > 安全 > 正文

谨防Heartbleed漏洞 别让“心脏出血”

2014年05月04日 12:40:15 | 作者:Gary Davis | 来源:McAfee | 查看本文手机版

摘要:“Heartbleed”具有极大的危险性,被形象的描述为致命的“心脏出血”。本文将深入分析“Heartbleed”,并帮助大家了解最有效的安全保护方式。

标签
安全协议漏洞
OpenSSL漏洞
Heartbleed

近日,一个代号为“Heartbleed”的严重安全漏洞被曝光并在网上引发激烈讨论。它具有极大的危险性,被形象的描述为致命的“心脏出血”。全球三分之二的网站可能会受到影响,范围波及网银、支付、电商等多种涉及个人账号及密码的服务。

那么,“Heartbleed”究竟是什么?盲目修改密码是否能够真正保护自己免受攻击?在接下来的文章中,我将跟大家分析“Heartbleed”,并帮助大家了解最有效的安全保护方式。

什么是 Heartbleed?

首先要明确的一点是,Heartbleed 并非一种病毒,而是 OpenSSL 的一个漏洞。OpenSSL 是一个安全协议,可对用户与大多数网络服务所提供的服务器之间的通信进行加密。这一漏洞给了黑客可乘之机,使他们能够从大量包含用户名、密码和其他敏感信息的数据库窃取数据。由于很多网站均采用 OpenSSL 来保护敏感的用户信息,这就让大量的用户信息处于随时被窃取的危险中。

深入剖析 Heartbleed

要了解 Heartbleed 的“所作所为”,我们需要先解释一下什么是 SSL,从而进一步了解OpenSSL 以及它是干什么的。

SSL是安全套接层 (Secure Sockets Layer) 的缩写——这是一个安全标准,支持信息在用户与服务间安全传递,确保信息免遭第三方截获。OpenSSL 是一个开源(非盈利)项目,由志愿者使用来自知识丰富的程序员社区的信息进行更新和维护。

要使SSL发挥作用,计算机需要与服务器进行通信。为此,它会发送称为“heartbeat”(心跳)的信息。heartbeat 所做的就是向服务器发送特定信号以确定服务器是否联机。如果服务器联机,它会向计算机发送回该信号,让用户可以尽享安全的通信。计算机和服务器会定期发送 heartbeat 以确定用户和服务器没有脱机。

Heartbleed 会向服务器发送恶意 heartbeat,以此来“恶搞心跳”。恶意 heartbeat 实质上是“诱骗”服务器向发送该恶意 heartbeat 的用户传回一个随机内存块,其中可能包含一组地址、用户名和密码。令人担忧的是,这些凭据中的一些可能属于管理该服务器的公司。这就为黑客提供了一种通过互联网访问和窃取信息的途径。

这一漏洞的严重性不容小觑。因为一些大型企业常常使用 OpenSSL,而这曾经被认为是最安全的数据传输手段之一。不仅如此,众多网络路由器厂商包括 Cisco Systems 与 Juniper Networks,也发布了紧急公告,列出一系列受此漏洞影响的路由器产品。虽说这些产品由于使用旧版SSL,厂商也表示会尽快更新补洞,但对于网管人员来说,着实是个令人头大的问题。

如何自保?

要想获得有效的自我保护最好要先确定你所使用的哪些网站受到了影响,并更改相应的账户密码。

首先需要做的就是对你的在线服务进行检查并确信其安全,Yahoo 和PayPal 之类的网站已对其服务器进行更新以防范 Heartbleed 漏洞。

不要匆忙更改密码。许多网站提示你需要尽快更改密码,而问题在于 Heartbleed 主要影响通信的服务器端,这意味着如果服务器没有因防范 Heartbleed 而被及时“更新”,即使更改你的密码也无济于事。

我该如何针对Heartbleed进行核查?

用户可以登录http://www.mcafee.com/heartbleed,输入网址就能够检测出网站是否存在该漏洞。此外,一些网站,如科技博客Mashable(+微信关注网络世界),列出了受 Heartbleed 漏洞影响的常用网站。可以访问该网站查看相关信息,但请切记,这份名单并不全面。如果你担心自己经常光顾的网站已经“含藏杀机”,可使用这款 Heartbleed 检测工具给网站来个“体检”。如果一个网站弹出显示遭到破坏,则意味着该网站未被更新,你应当稍等一下再更改密码。

提供服务的网站应当在随后几天会发邮件给你,告知它们已受到 Heartbleed 影响,并已对其服务器进行更新。在收到这些电子邮件后,再采取相应措施和更改自己的密码。不过,一定要倍加小心:因为这往往是钓鱼诈骗攻击的黄金时段——这类攻击会模仿合法的服务以窃取你的凭据——因此,当看到此类信息时一定多加谨慎。

其实我们可以通过一些蛛丝马迹识别出钓鱼诈骗攻击——如与公司不相符的可疑图片、要求你输入密码和用户名的邮件等。有些受 Heartbleed 影响的服务会将你自动登出、有些则提供了相关链接来让你更改密码。为了有效防范钓鱼诈骗攻击,切记不要点击这些链接。相反,应当自己访问网站,登录并修改密码。

以下是一些有关密码更改的提示:

为每个所使用的网站创建不同的密码。每个密码应当最少为八位字符,包含字母、数字和符号。

每个网站应当有不同的密码,不要在多个站点使用相同的密码。

使用密码管理器。使用密码管理器已不单单是方便的问题,更重要的是安全的需要。密码管理器可以帮助记住在每一个网站设置的不同密码。此外,它还能保护你免遭旨在记录你的键击(某种意义上也就是你的密码)的恶意软件的侵扰。

支持双因素身份验证。双因素身份验证是一项安全技术,第一个因素是你所知的:例如,密码;第二个因素是你所有的:例如,电话。并非所有网站都采用这种安全技术,不过,如果有,就一定要“照章行事”。这是保护自己免遭“被黑”的有效方法。

[责任编辑:网络安全 lin_hongji@cnw.com.cn]