OpenSSL心脏流血漏洞将会波及物联网

2014-04-29 10:12:46来源: 爱范儿 关键字:OpenSSL  心脏流血漏洞  物联网  心血漏洞

    最近,OpenSSL 心脏流血(Heartbleed)漏洞震惊了互联网。要理解这件事的严重性,首先要了解下什么是 OpenSSL。SSL(Secure Sockets Layer )是一种安全协议,最早由网景公司提出,目前已经成为互联网上保密通讯的工业标准。OpenSSL 则是许多网站使用的开源 SSL 包。此次漏洞的波及面非常广,影响到互联网上 2/3 的活跃网站。

    通过 OpenSSL 1.0.1 版本的漏洞,攻击者可以读取服务器的内存信息,从而获取用户的隐私,比如密钥、密码、信用卡号等。用“心脏流血”为此漏洞命名,的确是非常准确。在漏洞爆出后,一些更为令人震惊的事实浮出水面:

•负责 OpenSSL 代码维护的只有四个人,而且只有一个是全职。

•项目长期处于资金不足的状态。

心脏流血漏洞已经存在了两年。

•美国国家安全局很可能利用这个漏洞监控个人信息。

    心脏流血漏洞暴露出开源软件的问题。开源软件已经成为支撑网络的重要力量,但是,只有少数的知名项目享受到巨额的资金支持,其它的许多重要项目存在资金和人手不足的问题。在漏洞爆出之后,微软、Google、Facebook 等科技巨头成立了一个非盈利组织 Core Infrastructure Intiative(核心基础设施倡议),其目的是为网络上最重要的项目提供资金支持,保证其能够配备足够的人员。

    如今,大多数站点都修补了这个漏洞。根据互联网安全机构 Sucrui 的检测,排名前 1000 名的站点,包括 Google、Facebook、Youtube、Pinterest、Wikipedia、Twitter、LinkedIn、Bing,以及其它一些日常使用的站点都已经是安全的了。

    互联网用户看来可以松口气了。只是,心脏流血漏洞影响的不仅仅是网站,还包括数量广泛的联网设备。在过去的几周里,加州大学的计算机科学家 Nicolas Weaver 和密歇根大学的研究人员对互联网上的设备进行了研究。他们发现,虽然大多数网站已经修补了漏洞,但是大量的联网设备仍是易于攻击的对象,这包括路由器、 防火墙、打印存储服务器等等。“如此多的设备受到影响,真是一件让人不安的事情,” Weaver 对 Wired 网站说。

    Nest 的设备使用了有漏洞的 OpenSSL 版本,不过他们说用户不会受到影响。苹果的一部分 Airport Extreme 路由器以及 Time Capsule 备份也会受到影响。西门子工业控制系统(管理发电厂和废水处理厂的大型机器)也包含这个漏洞。这只是心脏流血漏洞影响的一小部分设备。

    密歇根大学研究员发现的风险设备有:惠普的打印机、Polycom 视频会议系统、WatchGuard 防火墙、VMWare 系统,Synology 存储服务器。Waver 说,使用 Parallels Plesk Panel 网站托管服务的用户也面临着安全风险,黑客可能利用漏洞控制网站。研究人员在检测中发现,至少有 3 万台 Fortinet 防火墙存在安全漏洞

    Nicholas Weaver 还发现了易受攻击的打印机,其中一些是惠普制造的。但是在漏洞爆出三周后,惠普仍然不知道那些打印机是有安全风险的。公司发言人通过邮件说,有小部分打印机受到了影响。

    好消息是,许多使用 OpenSSL 的设备没有风险,这是因为它们使用了更老的软件版本,或者是 OpenSSL 没有激活。坏消息是,那些有风险的设备只能通过手动更新。这意味着用户需要登录系统,更新固件。研究人员认为,由于数量众多的设备都有漏洞,在今后的多年里,这都会是一个让人头痛的安全问题

关键字:OpenSSL  心脏流血漏洞  物联网  心血漏洞

编辑:刘燚 引用地址:http://www.eeworld.com.cn/IoT/2014/0429/article_595.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:安全:物联网产业的达利摩斯之剑
下一篇:云巴:智能硬件与移动应用后端云服务有何不同?

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利
推荐阅读
全部
OpenSSL
心脏流血漏洞
物联网
心血漏洞

小广播

独家专题更多

TI车载信息娱乐系统的音视频解决方案
TI车载信息娱乐系统的音视频解决方案
汇总了TI汽车信息娱乐系统方案、优质音频解决方案、汽车娱乐系统和仪表盘参考设计相关的文档、视频等资源
迎接创新的黄金时代 无创想,不奇迹
迎接创新的黄金时代 无创想,不奇迹
​TE工程师帮助将不可能变成可能,通过技术突破,使世界更加清洁、安全和美好。
TTI携TE传感器样片与你相见,一起传感未来
TTI携TE传感器样片与你相见,一起传感未来
TTI携TE传感器样片与你相见,一起传感未来
电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2017 EEWORLD.com.cn, Inc. All rights reserved