六年了,你还记得当初被Heartbleed支配的恐惧吗?

发布时间:2020-04-20 11:30:00

  日子像平原走马,一撒手,便无影踪。据“心脏滴血”安全漏洞被发现,转瞬六年已过,你还记得当初的恐惧吗?



  那一夜,互联网门户洞开

  2014年4月7日,谷歌工程师NeelMehta发现了名为“心脏滴血”的openssl漏洞:黑客通过简单的方法进行攻击,就可以不费吹灰之力拿到用户和网站的隐私。这就像一枚核弹爆炸,让全球大多数网站的密文传输系统瞬间崩塌。

  瞬时间,互联网界迎来了腥风血雨,众多世界知名互联网公司为之一颤,国内互联网企业同样陷入了兵荒马乱之中,几乎所有的安全公司、安全队伍都陷入忙碌状态,无一幸免。

  甲方公司紧急进行openssl版本升级,关闭核心关键业务进行补丁修复;乙方公司日夜奋战对openssl进行补丁升级、漏洞复测、新环境部署、新环境上线等;做黑产的黑客们也在积极进行资料收集,拿取更多的敏感数据,更好地开展黑产业务;而各大src平台则被白帽子提交的漏洞刷屏……

  Heartbleed 为何引起巨大风波?

  Heartbleed 安全漏洞会削弱 SSL 与 TSL 两大常见互联网通信协议的安全性。受到 Heartbleed 影响的网站,允许潜在的攻击者读取用户的访问历史。换言之,精心谋划的网络罪犯可以借此找出用户的加密密钥。

  一旦加密密钥外泄,恶意攻击者将能够获取入侵系统所必需的凭证(包括用户名与密码)。在系统内部,入侵者还能利用失窃凭证所对应的授权级别发动更多后续攻击、窃听通信内容、顶替用户并夺取数据。



  六年已过,风波依旧

  如今,距离 Heartbleed 漏洞的最初披露已经过去了六年,但它仍然广泛存在于众多服务器及系统当中。当然,OpenSSL 的最新版本已经做好了修复,但尚未(或者无法)升级至修复版本的 OpenSSL 系统仍会受到这项漏洞的影响,且极易受到攻击。

  对于恶意攻击者而言,只要能找到 Heartbleed 漏洞,接下来他们就可以自动进行检索,然后轻松完成入侵。在找到这类易受攻击的系统之后,利用过程相当简单,由此获得的信息或凭证也能帮助他们快速推进其他后续攻击。

  你要做的是

  虽说“Heartbleed”的攻击模式很难被察觉,但是这并不意味着用户就只能坐以待毙。用户可以通过天威诚信自主研发的证书智能管理系统检测自己的网站是否需要升级OpenSSL版本,而且有些像Chrome以及火狐等第三方浏览器提供的扩展功能还可以进行随机自检,以避免被攻击。

  此外,天威诚信提醒您保护自己不受Heartbleed漏洞影响的最佳方式是:你不仅要更新你的密码,而且要确保你选择的密码不被轻易地破解。

  在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时弥补。作为身处其中的个人或企业,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。

  【图片来源于网络,侵删】

最新发布
1
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
2
惊!91%的工业企业容易遭受网络攻击
3
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
4
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
5
《中华人民共和国个人信息保护法》审议通过
6
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
7
规范“人脸识别”,为盗刷者戴上“紧箍咒”
8
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9
《网络安全审查办法(修订草案征求意见稿)》解读
10
划重点!《人民法院在线诉讼规则》正在施行中
相关推荐
由于证书过期,Pulse Secure VPN用户无法登录
规范“人脸识别”,为盗刷者戴上“紧箍咒”
企业数字化转型,数据安全是关键!
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
医疗保健网络钓鱼事件导致大规模数据泄露
惊!91%的工业企业容易遭受网络攻击
划重点!《人民法院在线诉讼规则》正在施行中
来啦!沪上首份《电子劳动合同操作指引》抢先出炉