只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了 ?
錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。
Heartbleed漏洞,這是個因為被廣泛使用OpenSSL加密程式庫內的編碼錯誤所造成的漏洞。該漏洞在過去幾天內佔領了所有新聞的頭條,這是理所當然的,因為其對消費者和企業的資訊安全都帶來巨大的風險。
因為它主要的涵蓋範圍可能會讓你認為,只要等待受影響的網站進行更新,接著變更再自己的密碼就沒事了。錯了,Heartbleed漏洞比心血管疾病還要致命一千倍。它的的確確是到目前為止影響最廣的立即風險,這是因為可能受到此漏洞影響的人數,因為受影響網頁伺服器所會暴露的敏感資料(可能包括了密碼和session cookie)。即便是第一波的修補完成,剩餘的風險還是相當巨大。
OpenSSL並不只限於網頁伺服器在用,電子郵件協定、聊天協定和安全虛擬私有網路服務也都有用到。它也可以在世界各地的大量網路和安全產品內找到,所以要解決的路還很長。許多廠商已經開始調查其產品和服務是否存在會受此漏洞影響的OpenSSL版本,而確認受到影響的產品列表還在持續成長中。這注定會是開放給針對性攻擊的季節。
當APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊針對了企業受害者,可以分解成幾個邏輯上的步驟;情報收集、進入點、建立指揮與控制系統、橫向移動和資料取出。在橫向移動階段,Heartbleed漏洞提供了一個有效又會存在的新武器給攻擊者。當攻擊者開始探索被入侵的受駭網路,他們現在可以定期地偵測伺服器和客戶端是否有Heartbleed漏洞存在。如果有此漏洞,它就提供了無聲而有效的方法來擷取身份憑證,提供攻擊者一條路去深入受駭組織,甚至可能敞開之前封閉的大門。
試想一下,如果在你的組織內部推送更新套件的軟體派送機制被入侵了,問問某家著名電子商店這是怎麼一回事。試想一下,如果攻擊者可以在員工登入資料庫時收割所有的身份憑證,掌握了你企業王國內的珍寶…
當然,製造商和供應商現在都在挑燈夜戰,去確認受到影響的產品和準備修補程式。但重要的是要記住,發出修補程式並沒有解決問題。要更新了修補程式才算。
現在是時候去列出你所有要接觸的供應商來識別你的風險,並且計畫停機時間和修補時程。直到你更新了所有的關鍵修補程式,密碼是這OpenSSL事件中最後該做的事情。
@原文出處:Open(SSL) season for targeted attackers.
作者:趨勢科技全球安全研究副總裁 Rik Ferguson