Heartbleed Bug影响在线零售商,电子商务

2021年2月24日05:16:39 发表评论 27 次浏览

所谓的Heartbleed bug这是某些流行的开源安全软件版本中的一个严重缺陷, 该软件用于在在线交易过程中保护加密数据, 例如密码或支付卡信息。 Heartbleed于4月7日宣布, 可能已经影响了全球三分之二的Web服务器, 包括大大小小的在线商家。

在最坏的情况下, 此Internet安全漏洞表明, 做正确的一切事情并要求保护客户数据的在线零售商可能仍在向几乎所有黑客公开敏感信息。

什么是流血虫?

Heartbleed错误是1.0.1至1.0.1f版本的的OpenSSL, 这是一个开放源代码的商业级开发工具包和库, 用于实现安全套接字层(SSL)和传输层安全性(TLS)协议。

心跳是TLS协议的扩展, 该协议允许服务器和客户端(例如Web浏览器)在没有来回传输数据时保持开放连接。无需太过专业, Heartbeat扩展的工作原理是由一个参与者(例如Web浏览器)发送一个随机消息, 其中包含一定数量的字节的有效负载(内容)。另一方(在此示例中为Web服务器)应该以相同字节数的镜像消息进行回复。不幸的是, 在上述版本的OpenSSL中, 本应用于确认消息有效负载匹配的代码行根本丢失了。本质上, 任何格式正确的消息都可以从服务器获得响应。因此, 如果你愿意的话, 信息就会从心跳中流失, 从而给我们带来Heartbleed错误。

"问题很简单, "约翰·霍普金斯大学(Johns Hopkins University)的密码学家和研究人员马修·格林(Matthew Green)在他的著作中对Heartbleed错误的出色描述。 "处理TLS'心跳'消息的代码中存在一个小漏洞-简单的边界缺失检查。通过滥用此机制, 攻击者可以请求正在运行的TLS服务器移交其较大的私有内存空间(最大64KB)。由于OpenSSL也是在同一存储空间中存储服务器的私钥材料, 因此攻击者可以潜在地获得(a)长期服务器私钥, (b)TLS会话密钥, (c)诸如密码之类的机密数据, (d)会话票证密钥。"

Green写道:"以上任何一种手段都可能使攻击者解密正在进行的TLS会话或窃取有用的信息。" "但是, 到目前为止, (a)项最糟糕, 因为获得服务器主私钥的攻击者可以潜在地解密过去的会话(如果使用[非完美的前向保密RSA]握手进行)或冒充服务器前进。最糟糕的是, 该漏洞利用没有留下任何痕迹。"

由于Heartbleed错误既可以用来拦截加密的通信, 又可以请求"相对较大的"服务器内存, 因此, 与服务器未使用加密的情况相比, 这实际上更糟。

最后, 自2011年以来, 出现了缺少代码的OpenSSL版本。

为什么网上零售商应该关注流血的问题

Heartbleed错误表示即使是完全遵守支付卡行业数字安全标准(PCI DSS)并采取一切谨慎措施来保护客户的私人信息或支付卡号的商家, 也仍然可能受到攻击。即使是一些专门的实体零售商也可能很脆弱。

最重要的是, 客户的私人信息和支付卡号受到威胁, 每个商人都应努力保护客户。

商家如何保护客户数据免于流血

零售商, 尤其是在线卖家, 需要采取一些步骤来保护客户免受Heartbleed错误的侵害。

首先, 请确保如果你的Web服务器运行的是OpenSSL的易受攻击版本之一, 请确保在没有心跳扩展的情况下对其进行更新, 修补或重新编译。这将消除向前发展的安全威胁。

不幸的是, 由于实际上没有办法知道某个特定的Web服务器是否已经受到威胁, 这意味着某些骇客已经拥有该Web服务器的私钥, 因此, 一旦零售商确定自己的SSL证书, 便需要撤销并替换SSL证书。服务器正在运行安全版本的OpenSSL。

最后, 重置用户密码可能是个好主意, 因为如果服务器已经受到威胁, 则坏人和女孩可能已经拥有用户的当前密码。

如何保护你的企业免受流血的黑客攻击

考虑到与Heartbleed错误相关的范围和风险, 最好更改大多数(即使不是全部)重要业务帐户的密码。对于银行密码尤其如此。

与流血相关的文章和资源

  • Heartbleed Bug网站来自Codenomicon。

  • 马修·英格拉姆(Mathew Ingram)的文章"你需要了解有关Heartbleed网络安全漏洞的所有信息, "在Gigaom上。

  • 马修·格林(Matthew Green)的"每周攻击:OpenSSL令人难以置信。"

  • 杰克·菲利普(Jack Phillip)的"Heartbleed Bug Imperials Web加密;密码, 信用卡号有风险"。

  • 詹姆斯·林恩(James Lyne)的"Heartbeat Heartbleed再次打破了全球互联网安全来自《福布斯》。

  • John Biggs的文章, "Heartbleed, 第一个带有酷徽标的安全漏洞, "在notlogy上。

  • 肖恩·加拉格尔(Sean Gallagher)的帖子"Heartbleed漏洞可能在补丁发布前几个月就已被利用, "来自Ars Technica。

  • 丹尼·雅德隆(Danny Yadron)在《华尔街日报》上发表的文章"大规模的OpenSSL错误'Heartbleed'威胁着敏感数据"。

  • 保罗·达克林(Pau​​l Ducklin)的帖子, "伤心欲绝–心痛, 你真的应该立即更改密码吗?"在Naked Security博客上。

  • OpenSSL的安全建议.

一盏木

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: