Heartbleed - 資安趨勢部落格

密碼：不會很快就消失

2014 年 06 月 03 日2014 年 05 月 27 日趨勢科技 TrendMicro

即使有其他認證方式出現，密碼仍會以輔助方式存在。不然當你的手機或認證裝置被竊時怎麼辦？我們根本沒有準備好面對沒有密碼的世界，不管我們多麼想擺脫它們。

對於非系統管理者的使用者來說，Heartbleed心淌血漏洞所造成的最大影響是他們不得不去變更所有的密碼。這一點，再加上替代性身份驗證方法的改進（如旗艦智慧型手機現在已經內嵌了指紋辨識），讓我們開始聽到一些對密碼相當大膽的評論。

密碼已經過時了？我聽到一些人說短期內就會被淘汰？沒這麼快！雖然密碼的確不是身份驗證最便捷的方式，而且本質上較不安全，但我們不會這麼快就棄之不用。

密碼的主要優點是每個人都可以馬上使用它們。沒有必要將自己綁定在特定的認證裝置（「我可以發誓，今天早上還在我包包裡！」），位置（「我不能從酒店登入，我忘了自己啟用安全功能了！」）或智慧型手機（「我的手機沒電了！」）。這講法或許有點奇怪，不過強迫使用者擁有智慧型手機（或要求公司配發一個）可能還是過於昂貴。

即使有其他認證方式出現，密碼仍會以輔助方式存在。不然當你的手機或認證裝置被竊時怎麼辦？我們根本沒有準備好面對沒有密碼的世界，不管我們多麼想擺脫它們。

如果這樣，不妨就來學習如何正確地使用它們。這並不難：

首先，在每個網路服務使用不同的密碼，如果你想手動這樣做可能很難，所以最好的方式可能是密碼管理 e 指通。現在你有許多選擇，而且很多都是免費的。繼續閱讀

假 CNN 發佈 Heartbleed (心淌血) 漏洞事件警告

2014 年 04 月 25 日2014 年 04 月 25 日趨勢科技 TrendMicro

自從Heartbleed心淌血漏洞安全漏洞在本月稍早爆發以來，網路上就出現許許多多的更新程式以及相關討論和細節資訊，從資訊安全專家到網路名人，人人都在討論這個話題。網路犯罪者當然也不放過這樣的大好機會，報導指出其實在漏洞爆發隔天，就偵測到中國大陸1台電腦發動攻擊。趨勢科技也偵測到趁著Heartbleed心淌血漏洞的熱潮,大量散布的垃圾郵件攻擊。

圖 1：Heartbleed 垃圾郵件

就垃圾郵件(SPAM)而言，這算是一封很平凡的垃圾郵件。內容是一段單純的文字，告訴使用者有關這個 Heartbleed 「網際網路大漏洞」的問題，並提供一些建議和一個所謂CNN報導的連結。該郵件看似來自沙烏地阿拉伯利首都利雅得一位名為「Dexter」的民眾。

但此連結跟本就不是連上 CNN 網站或其網域下的任何網站。如同所有垃圾郵件一樣，它會連到別的網址，但該網址目前似乎已經遭下架而無法連上，因此推測很可能根本就是一個惡意網址。

網路犯罪者隨時都在等待任何可利用的議題來進行社交工程陷阱( Social Engineering)攻擊，例如重大的安全事件或災難。像Heartbleed心淌血漏洞這麼大、這麼嚴重的資安事件，它影響的不僅是今日最熱門的一些網站，就連行動 Aapp 程式也受到影響，因此使用者必須預期威脅很可能以意想不到的方式出現。

您務必隨時保持警戒和懷疑，尤其對於電子郵件。垃圾郵件隨時可能出現在您眼前。一般來說，電子郵件中的連結最好不要點，較安全的作法是直接前往您要去的網站。

當然，只要是趨勢科技的客戶就不用擔心這個垃圾郵件攻擊，因為不論是郵件和所指的網址都會被封鎖。

至於 Heartbleed 漏洞本身，我們已釋出一些工具來讓您保護自身的安全，包括針對 Android 平台的趨勢科技「安全達人」免費行動防護App (可在發現有漏洞的 App 時通知您並幫您解除安裝) 以及專為 Chrome 平台設計的Trend Micro OpenSSL Heartbleed Scanner App (可偵測某個網站是否有 Heartbleed 漏洞)。此外，我們也架設了一個專門的網站來協助您檢查某個網站是否含有這項漏洞：Trend Micro Heartbleed Detector 網站。

@原文來源 Cybercriminals Take Advantage Of Heartbleed With Spam

作者：Fjordan Allego (垃圾郵件防護研究工程師)

Heartbleed漏洞提供了APT 攻擊者新武器!!

2014 年 04 月 25 日2014 年 04 月 24 日趨勢科技 TrendMicro

只要等待受影響的網站進行更新，接著變更再自己的密碼就沒事了 ?
錯了，Heartbleed漏洞比心血管疾病還要致命一千倍。

Heartbleed漏洞，這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條，這是理所當然的，因為其對消費者和企業的資訊安全都帶來巨大的風險。

因為它主要的涵蓋範圍可能會讓你認為，只要等待受影響的網站進行更新，接著變更再自己的密碼就沒事了。錯了，Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險，這是因為可能受到此漏洞影響的人數，因為受影響網頁伺服器所會暴露的敏感資料（可能包括了密碼和session cookie）。即便是第一波的修補完成，剩餘的風險還是相當巨大。

OpenSSL並不只限於網頁伺服器在用，電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到，所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本，而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。繼續閱讀

< Heartbleed心淌血漏洞偵測工具 > 6000個行動應用App會讓你「心淌血」！趨勢科技「安全達人」替 Android 行動用戶把關

2014 年 04 月 18 日2014 年 04 月 23 日趨勢科技 TrendMicro

高風險App恐洩漏用戶個資以「生活品味」與「娛樂」類為大宗

【台北訊】繼上週揭露了會廣泛影響行動 App程式的 Heartbleed漏洞、以及其可能造成的廣泛危害之後，趨勢科技今(17)日再度公布，目前全球已有高達6000 多種行動App受到波及，其中「生活品味」與「娛樂」App各佔13%，成為受害最嚴重的類別！此外，Android 4.1.1 版作業系統也會受到影響。趨勢科技表示，Heartbleed漏洞的危害遍及各類型的App，用戶應立即安裝可偵測Heartbleed漏洞的手機資安軟體，如趨勢科技「安全達人」免費行動防護App等，並立即檢查已下載的App是否安全，才能避免個資或交易資訊被竊取。

趨勢科技資深技術顧問簡勝財表示：「 OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞稱為Heartbleed漏洞) ，它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時，駭客就能讀取電腦記憶體當中的資料，而且完全不留任何痕跡。」Heartbleed漏洞對用戶造成的影響如下圖：

圖一、Heartbleed漏洞對用戶造成的影響

簡勝財進一步指出：「趨勢科技於上週揭露了Heartbleed漏洞後，一直持續監控中，我們發現目前有超過6000 多種 App 程式受到影響，而且遍及各種類型，尤其以『生活品味』和「娛樂」此兩種與消費者日常生活高度連結的App各佔13%為最大宗，為受波及的App類別中第一名！」

以下是前十名受波及的行動應用程式App類別：

圖二：前十名受波及的行動應用程式 App類別

繼續閱讀

大約有 6,000 個行動應用程式,仍然受到 Heartbleed 漏洞影響

2014 年 04 月 17 日2014 年 04 月 17 日趨勢科技 TrendMicro

大約有6,000個應用程式仍然受 Heartbleed漏洞到影響,我們看到有很大一部分生活類的應用程式受到 Heartbleed漏洞影響,這些應用程式包括了點餐、雜貨、設備、看書、優惠券、服裝、家具等等。也就是說，如果使用者透過其中一個受影響應用程式來點餐或買東西，跟訂單相關的資訊，像是使用者憑證和家裡地址，或更糟的是信用卡資料，都有可能被外洩。

內建的OpenSSL程式庫讓應用程式和Android 4.1.1也會受到Heartbleed影響

趨勢科技在之前的文章裡提到，行動應用程式也會受到Heartbleed漏洞的影響。這是因為行動應用程式可能會連上受漏洞影響的伺服器。不過看起來行動應用程式本身可能也會因為內建的OpenSSL程式庫而受此漏洞影響。

OpenSSL程式庫出現在Android 4.1.1和某些行動應用程式

們所擁有的資料顯示，雖然OpenSSL整合在Android系統內，但只有Android 4.1.1會受到Heartbleed漏洞影響。在此版本的設備上，任何會使用OpenSSL來建立SSL/TLS連線的應用程式都可能會受到影響，可能會被惡意份子用來從設備記憶體內擷取使用者資料。

然而，即使設備不是使用受影響的版本，也有可能因為應用程式本身而造成問題。我們在Google Play上發現了273個內建受影響版本的獨立OpenSSL程式庫，意味著這些應用程式可以在任何設備上受到危害。

在這份名單中，我們看到了去年最受歡迎的遊戲、一些VPN客戶端、一個安全應用程式、一個流行的影片播放程式、一個即時通應用程式、一個VOIP電話應用程式和其他許多軟體。正如你可能已經知道，OpenSSL程式庫被應用程式用來做為安全通訊之用。許多應用程式都來自知名的開發者。我們還發現此漏洞存在於舊版本的Google應用程式。

圖一、容易受到Heartbleed影響的包括那些極受歡迎的應用程式

這些應用程式會用靜態連結到有漏洞的OpenSSL程式庫，如下圖所示：

圖二、有漏洞的OpenSSL程式庫

如果應用程式所連上的遠端伺服器被入侵，那麼反向客戶端Heartbleed攻擊是有可能的。反向Heartbleed攻擊就會讓設備記憶體內容洩漏給攻擊者。該記憶體內容可能包含這些應用程式儲存在本地端的任何敏感資料。如果你使用有漏洞的VPN客戶端或VOIP網路電話應用程式來連上一個惡意服務，你可能會失去你的私鑰或其他憑證資料，那麼駭客就可以開始用來偽造你的身份和做其他不好的事情。繼續閱讀