一個新的HTTPS漏洞(已經有了專屬網站、亮眼圖示以及響亮好記的暱稱)已經被發現,被描述為可能跟Heartbleed心淌血漏洞一樣嚴重的漏洞。它被稱為DROWN,跟它在2014年出現的前輩一樣,它會影響今日使用HTTPS的大部分網域(根據其網站的FAQ約33%)。不僅僅是網站,郵件服務器和TLS相關服務也都會受到影響。
DROWN是什麼?
它是會影響HTTPS及其他依賴SSL/TLS服務的漏洞。這些協定主要用加密技術來確保服務所需要的個人資料(如登錄憑證/信用卡號碼),像是網路購物、銀行網站還有即時通。
經由利用DROWN,攻擊者能夠破解這些協定,截獲並竊取被保護的個人資料。也可以用它來攻陷合法網站,好變更功能或插入惡意程式碼。
誰會受到影響?
很顯然地,任何允許TLS和SSLv2連線的伺服器或客戶端都會。網站 drownattack.com提供線上檢查服務來檢視某個網域或IP是否有DROWN漏洞。
DROWN網站聲稱在漏洞披露(3月1日)時,在所有HTTPS伺服器/網站中有33%具有此弱點。它接著說,以此來說,瀏覽器們所信任的網站中有22%具備此漏洞,包含了前一百萬名網域的25%。
已經有許多的新聞圍繞著最近所發現的Heartbleed心淌血漏洞。這裡不提太多的技術細節,基本上它會讓許多網站有可能去洩漏出人們提交給這些網站的個人資料。這包括了購物網站、社群網路、電子郵件服務、音樂串流媒體服務以及遊戲網站,因為這世上有許多網站都同樣的使用被影響的技術。
每當有這樣的事件發生,都是個機會教育來和你的孩子談論如何分享和守護線上個人資料。首先要自己找出更多的相關訊息。然後和孩子分享你所知道的資訊。並且提醒他們,當我們在網上分享資訊時,總會有落入他人手裡的風險,有可能是因為他們做了什麼,或沒有盡可能地保護好它。
一些事實
我們所知道的是,這個漏洞已經存在了至少兩年,有66%的網站都使用了會受此漏洞影響的技術。但到2014年4月8日為止,根據我們的研究人員,並非所有網站都會受此漏洞影響。許多組織已經在檢查建置自己網站的伺服器是否會受此漏洞影響,並且嘗試加以修復。我們也知道,如果你使用的是已修復的網站,那應該就沒有問題。
我們所不知道是,某一特定網站可能已經曝露個人資料有多久了,像是使用者名稱、密碼、信用卡、電話號碼和家裡住址。我們也不知道有多少不良意圖的人,在出現漏洞的這段期間內拿走了那些資料。
第一起因為Heartbleed心淌血漏洞而被補的案件出現在加拿大。一人被捕並被指控駭客攻擊政府國稅局網站,竊取了900個社會保險號碼。這可能只是我們探索Heartbleed漏洞影響有多深遠的開始。
孩子的良好習慣
底下是一些可以幫你孩子培養的良好上網習慣:
到目前為止,今年都是讓企業IT人員特別緊張的一年。年初的時候,關於資料外洩的擔憂和端點銷售系統POS惡意軟體讓零售業者大操其心。
Windows XP系統轉移這長久以來的頭痛問題也到達了臨界點,因為四月就要結束對這古早操作系統的支援。通常每個月都會有個關於資安的頭條新聞,但是一個被稱為Heartbleed心淌血漏洞OpenSSL卻是絕對的不受歡迎。
因為這發生的一切,所以如果IT安全人員累了,或是疲於修補漏洞是有點說得過去的。希望這些團隊可以在這些緊張的時刻得到適當的休息,因為訓練有素且有能力安全人員的重要性是不可低估的。
雖然技術解決方案所扮演的角色得到更多的關注(較頻繁也更多資金),這些解決方案如果沒有知道該如何用的專家就會變得毫無價值。面對今日的攻擊環境,並不只是需要更加複雜的工具;還需要訓練有素的IT安全人員來做決策,利用工具所提供的最佳資訊以及威脅情報來進行處理。
不幸的是在許多組織中,這些團隊都被冷落和視為成本中心。這聽起來不錯,直到發生了重大的外洩事件或其他安全問題 – 結果讓組織付出了更多的成本。
那麼究竟組織要如何對待他們的資訊安全人員?有四個地方是組織可以加以協助的。
給予他們所需的工具 – 並且讓他們試驗。
首先,資訊安全團隊必須有他們所需要的資源。這可能包括硬體、軟體以及人員。團隊應該要專心做好自己的工作,而不必擔心沒有足夠資源來做到這一點。是的,這可能要花錢,但是攻擊和資料外洩會更花錢。
此外,企業應該讓團隊有一定空間來進行試驗。如果他們想嘗試新的工具或使用新的方法來收集和分析威脅資訊 – 讓他們進行實驗。這些想法不一定會馬上產出有用的東西,所需要的只是進行概念證明,以確認想法會奏效。
讓他們學習和犯錯。
新的威脅和問題總是不斷地出現。正如我們今年剛剛聽到的驚人消息,有些我們認為安全的事物,可能並不是。學習已成為團隊目標的重要部分。好在威脅前線完成每日的工作。
有關威脅的資訊並不總是精確;看來似乎是威脅的事情可能結果是完全無害,反之亦然。總是會有錯誤發生;試圖減少絕對是正確的,但不應該讓你的安全團隊變得過於畏縮,而不敢去指出一個明顯的攻擊。
確保資料可以被自由存取
這和我們的第一條相呼應。如果組織真的希望自己的團隊進行試驗,就應該確保日誌和資料庫方便存取和使用開放格式。被歸檔的所有檔案都該被儲存成純文字檔,像是CSV檔,而非專有的二進位格式。純文字檔可以被許多檢視器和腳本語言輕易地加以處理。
為什麼這很重要?這讓搜尋可以用相對快速和有效的方式進行。提供組織內的安全專家最佳方式去存取潛在威脅資訊。根據組織所記錄和歸檔的資訊,它也提供了進行資料關聯的可能性。可用的威脅情報最終能夠改善組織防禦。 繼續閱讀
自從Heartbleed心淌血漏洞安全漏洞在本月稍早爆發以來,網路上就出現許許多多的更新程式以及相關討論和細節資訊,從資訊安全專家到網路名人,人人都在討論這個話題。網路犯罪者當然也不放過這樣的大好機會,報導指出其實在漏洞爆發隔天,就偵測到中國大陸1台電腦發動攻擊。趨勢科技也偵測到趁著Heartbleed心淌血漏洞的熱潮,大量散布的垃圾郵件攻擊。
圖 1:Heartbleed 垃圾郵件
就垃圾郵件(SPAM)而言,這算是一封很平凡的垃圾郵件。內容是一段單純的文字,告訴使用者有關這個 Heartbleed 「網際網路大漏洞」的問題,並提供一些建議和一個所謂CNN報導的連結。該郵件看似來自沙烏地阿拉伯利首都利雅得一位名為「Dexter」的民眾。
但此連結跟本就不是連上 CNN 網站或其網域下的任何網站。如同所有垃圾郵件一樣,它會連到別的網址,但該網址目前似乎已經遭下架而無法連上,因此推測很可能根本就是一個惡意網址。
網路犯罪者隨時都在等待任何可利用的議題來進行社交工程陷阱( Social Engineering)攻擊,例如重大的安全事件或災難。像Heartbleed心淌血漏洞這麼大、這麼嚴重的資安事件,它影響的不僅是今日最熱門的一些網站,就連行動 Aapp 程式也受到影響,因此使用者必須預期威脅很可能以意想不到的方式出現。
您務必隨時保持警戒和懷疑,尤其對於電子郵件。垃圾郵件隨時可能出現在您眼前。一般來說,電子郵件中的連結最好不要點,較安全的作法是直接前往您要去的網站。
當然,只要是趨勢科技的客戶就不用擔心這個垃圾郵件攻擊,因為不論是郵件和所指的網址都會被封鎖。
至於 Heartbleed 漏洞本身,我們已釋出一些工具來讓您保護自身的安全,包括針對 Android 平台的趨勢科技「安全達人」免費行動防護App (可在發現有漏洞的 App 時通知您並幫您解除安裝) 以及專為 Chrome 平台設計的Trend Micro OpenSSL Heartbleed Scanner App (可偵測某個網站是否有 Heartbleed 漏洞)。此外,我們也架設了一個專門的網站來協助您檢查某個網站是否含有這項漏洞:Trend Micro Heartbleed Detector 網站。
@原文來源 Cybercriminals Take Advantage Of Heartbleed With Spam
作者:Fjordan Allego (垃圾郵件防護研究工程師)
只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了 ?
錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。
Heartbleed漏洞,這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條,這是理所當然的,因為其對消費者和企業的資訊安全都帶來巨大的風險。
因為它主要的涵蓋範圍可能會讓你認為,只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了。錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險,這是因為可能受到此漏洞影響的人數,因為受影響網頁伺服器所會暴露的敏感資料(可能包括了密碼和session cookie)。即便是第一波的修補完成,剩餘的風險還是相當巨大。
OpenSSL並不只限於網頁伺服器在用,電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到,所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本,而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。 繼續閱讀