首頁 收藏 QQ群
 網(wǎng)站導(dǎo)航

ZNDS智能電視網(wǎng) 推薦當(dāng)貝市場

TV應(yīng)用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計算器

綜合交流 / 評測 / 活動區(qū)

交流區(qū) | 測硬件 | 網(wǎng)站活動 | Z幣中心

新手入門 / 進(jìn)階 / 社區(qū)互助

新手 | 你問我答 | 免費(fèi)刷機(jī)救磚 | ROM固件

查看: 7798|回復(fù): 0
上一主題 下一主題
[其它]

工程師講述“心血”漏洞發(fā)現(xiàn)過程:偶遇!

[復(fù)制鏈接]
跳轉(zhuǎn)到指定樓層
樓主
發(fā)表于 2014-4-13 10:13 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式 | 來自遼寧
本周初,安全公司Codenomicon的工程師安蒂·卡加萊能(Antti Karjalainen)在正常的工作時,卻偶然發(fā)現(xiàn)了互聯(lián)網(wǎng)史上最大的安全漏洞——Heartbleed(心臟流血)漏洞??尤R能也是Codenomicon安全公司揭示Heartbleed漏洞的三位功勛工程師之一。
Heartbleed漏洞影響了被廣泛使用的開放源代碼SSL安全套件OpenSSL的加密協(xié)議。簡言之,這個漏洞可以誘使服務(wù)器將其內(nèi)存中的數(shù)據(jù)溢出來,從而可能讓黑客掌握這一漏洞,并進(jìn)一步竊取諸如信用卡和密碼等之類的敏感信息。
卡加萊能,以及其在Codenomicon公司中的同事瑞庫·希塔馬基(Riku Hietamaki)和馬蒂·卡莫能(Matti Kamunen),還有谷歌(微博)安全人員尼爾·米赫塔(Neel Mehta,非Codenomicon工作人員),被認(rèn)為是最先發(fā)現(xiàn)Heartbleed漏洞的幾位人員??尤R能聲稱,他是在和希塔馬基共同更新Codenomicon公司程序測試組件的功能時發(fā)現(xiàn)這個漏洞的。
據(jù)卡加萊能披露,Codenomicon公司程序測試軟件的新功能名為“Safeguard”,旨在識別各種新型的軟件漏洞。卡加萊能還稱,他最初在對OpenSSL的Heartbeat功能增加支持程序時,發(fā)現(xiàn)了一些錯誤的地方。Heartbeat功能是用來測試連接是否安全的功能,可以讓一臺服務(wù)器向另一臺服務(wù)器發(fā)送任意數(shù)據(jù),然后接收服務(wù)器再將數(shù)據(jù)完全一樣的復(fù)制品發(fā)回原先的發(fā)送服務(wù)器,以此證明這種連接的安全性,
安全互聯(lián)網(wǎng)的王冠:
Codenomicon開始注意到,一些新測試案例將會啟動Heartbeat程序內(nèi)的漏洞。對此,卡加萊能聲稱:“我們擁有正確的工具,也處于正確的地方?!?br /> 在發(fā)現(xiàn)了一個測試案例的回復(fù)變得異常大之后,卡加萊能和希塔馬基又嘗試了另一種新測試方法。新測試將證實Hearbeat功能中的漏洞會秘密地泄露外部數(shù)據(jù)。
卡加萊能對此聲稱:“這種現(xiàn)象正是我們擔(dān)心的。服務(wù)器突然將內(nèi)存中的數(shù)據(jù)大量溢出,我們在進(jìn)一步調(diào)查了回應(yīng)信息之后,很快就發(fā)現(xiàn)這可能是一個非常非常嚴(yán)重的漏洞?!?br /> 第二天,Codenomicon公司的安全專家馬科·拉克索(Marko Laakso)發(fā)現(xiàn),正被用于支持公司測試程序組件的OpenSSL也在泄露服務(wù)器上的密鑰??尤R能對此稱:“密鑰就是安全互聯(lián)網(wǎng)的王冠,是用來證明你的真實身份,從這個意義上講,Heartbleed可能就是互聯(lián)網(wǎng)史上最嚴(yán)重的漏洞。”
Heartbleed漏洞誕生:
在發(fā)現(xiàn)了Heartbleed漏洞之后,Codenomicon公司并著手開始給服務(wù)器打補(bǔ)丁,并運(yùn)用了各種方法來將此漏洞通告給其他人。Codenomicon在此過程中一直將此問題稱為“Heartbleed”,因此該公司已經(jīng)購買了heartbleed.com域名,創(chuàng)建了相應(yīng)的從視覺上代表此漏洞的圖標(biāo),并開始撰寫與此漏洞問題相關(guān)的詳細(xì)報告。
從幾大方面來看,Heartbleed漏洞極其危險,例如會影響被廣泛應(yīng)用于多數(shù)互聯(lián)網(wǎng)的OpenSSL安全軟件,這就意味著此漏洞可能會以各種不同的方式影響每一位互聯(lián)網(wǎng)用戶。Heartbleed很難檢測出來,因為此漏洞可以讓入侵的黑客在數(shù)據(jù)傳輸過程的極早期階段發(fā)動攻擊,從而盜取相關(guān)的數(shù)據(jù)。Codenomicon公司聯(lián)合創(chuàng)始人兼首席研究官阿瑞·塔卡能(Ari Takanen)將此漏洞比作是“甚至在你鎖門之前小偷就開始在大樓內(nèi)偷盜”一樣。
一些更大型的網(wǎng)頁服務(wù)公司,例如Twitter和谷歌等,已經(jīng)宣稱采用了必要的補(bǔ)丁,以解決這一問題。不過,仍然有幾種類型的設(shè)備,包括有線電視機(jī)頂盒和交通信號燈等在內(nèi),可能還沒有安裝補(bǔ)丁,因為這些設(shè)備本身就不經(jīng)常更新。
卡加萊能稱:“自從此漏洞被發(fā)現(xiàn)之后,除了思考該漏洞及其后果之外,我就一直無法考慮其它事情。哪怕是讓我短暫地考慮一下其它事情,那也非常不錯了?!?/td>

上一篇:智能時代的路由器 極路由極壹S評測
下一篇:小米路由二代概念圖:配置要逆天
您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規(guī)則

Archiver|新帖|標(biāo)簽|軟件|Sitemap|ZNDS智能電視網(wǎng) ( 蘇ICP備2023012627號 )

網(wǎng)絡(luò)信息服務(wù)信用承諾書 | 增值電信業(yè)務(wù)經(jīng)營許可證:蘇B2-20221768 丨 蘇公網(wǎng)安備 32011402011373號

GMT+8, 2024-10-22 20:42 , Processed in 0.060529 second(s), 15 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報:report#znds.com (請將#替換為@)

© 2007-2024 ZNDS.Com

快速回復(fù) 返回頂部 返回列表