資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

心跳（Heartbeat）停止：Heartbleed OpenSSL漏洞分析

2014 年 04 月 14 日2014 年 04 月 17 日趨勢科技 TrendMicro

軟體會有漏洞是我們必須面對的現實，如果我們夠幸運且夠勤快，那就可以在網路犯罪份子攻擊它之前先加以修補。事實並不一定總是如此，但幸好那些算是例外，而不是常態。

不過最近新聞爆出了一個關於 OpenSSL 的Heartbeat擴充程式漏洞，這是個開放原始碼工具包，用來幫助網站管理員和開發人員讓交易更加安全。而這個漏洞如果被利用的話（因為此漏洞的本質，所以沒辦法知道網路犯罪份子是否已經如此做），可能代表有許多使用OpenSSL的網站和應用程式上的交易已經被危及了。

什麼是Heartbeat OpenSSL擴充程式？

OpenSSL在2011年12月左右推出名為Heartbeat的擴充程式，隨著1.0.1編譯版本發佈，被定義在RFC 6520 TLS/DTLS Heartbeat擴充程式。這個擴充程式的功能是幫助避免重新建立會話，並允許一個讓SSL會話可以維持更久的機制。該 RFC 建議 HeartbeatRequest 必須用HeartbeatResponse訊息回答。這結果會保存網路資源，資源一般用在完整會話的重新協商。

這裡要指出的是，OpenSSL被用在許多網站和軟體上，從開放原始碼的伺服器（像Apache和Nginx），到電子郵件伺服器，聊天伺服器，虛擬私有網路（VPN），甚至是網絡設備。

因此，可以很合理的假設Hearbead擴充程式已經被大量地應用，也讓這漏洞的影響範圍真的相當廣泛。

了解Heartbleed臭蟲

該漏洞被稱為Heartbleed臭蟲，存在於所有實作Heartbeat擴充程式的OpenSSL。當攻擊一個有漏洞的伺服器時，可以讓攻擊者一次讀取部分（最多64KB）的電腦記憶體而不會留下任何痕跡。

這一小塊記憶體可能會包含使用者重要的個人資料 – 私鑰、使用者名稱、密碼（在很多情況下是以明文的形式）、信用卡資料以及機密文件等等。攻擊者可以一再地要求記憶體區塊以盡可能地獲取他們所想要的資訊。而且這個漏洞可以被任何人從網路上的任何地方加以攻擊。

一個主要的網路內容供應商也受到此漏洞影響，他們迅速努力地修復它。但在它修復之前，有些惡意份子可能已經竊取了敏感資料。繼續閱讀

手機購物竟”心在淌血”!!Heartbleed臭蟲, 影響銀行,線上支付,網路購物等手機/行動應用程式

2014 年 04 月 14 日2014 年 04 月 17 日趨勢科技 TrendMicro

趨勢科技掃描了大約390,000個來自Google Play的應用程式，發現約有1,300個會連到有漏洞的伺服器。其中有15個銀行相關應用程式，39個和線上支付有關，10個和網路購物有關。

前不久，OpenSSL 加密軟體程式庫的 Heartbeat (心跳) 延伸功能被發現含有一個漏洞，此漏洞被戲稱為 Heartbleed (心在淌血) 臭蟲，它存在於所有內含 Heartbeat 延伸功能的 OpenSSL 軟體。當伺服器遭此漏洞攻擊時，駭客就能讀取電腦記憶體當中的資料 (每次最多 64KB)，而且完全不留任何痕跡。

Heartbleed臭蟲的嚴重性已經讓無數的網站和伺服器急著去解決這問題。而且這是有理由的，一個由Github所進行的測試顯示，在前10,000名網站（根據Alexa排名）中，有600個受此弱點影響。在掃描的時候，受影響的網站包括了雅虎、Flickr、OKCupid、Rolling Stone和Ars Technica。

延伸此一安全漏洞的涵蓋率帶出另一個問題，「行動設備也會受到影響嗎？」簡單的說：是的。

行動應用程式，不管我們喜不喜歡，也一樣地容易受到網站的Heartbleed臭蟲影響。因為應用程式通常會連到伺服器和網頁服務來完成各項功能。正如我們之前的文章所提到，有相當大數量的網域受到此漏洞影響。

假如你只是要進行應用程式內購買的動作，所以你需要輸入信用卡資訊。你做完之後，行動應用程式就會為你完成交易。當你拿到了你要的遊戲，你的信用卡資料也會儲存在行動應用程式所進行交易的伺服器上，並可能在那待上一段長度不等的時間。因此，網路犯罪分子可以利用Heartbleed漏洞來攻擊該伺服器以取得資料（如信用卡號碼）。就是這麼地簡單。

那如果應用程式不提供應用程式內購買呢？他們就安全於此漏洞嗎？也不是，只要它會連到網路伺服器，就還是會被此弱點影響，即便你的信用卡不會被影響到。例如，你的應用程式可能會要求你在社群網路上幫他們按「讚」或「關注」他們以拿到免費獎勵。

假設你決定這樣做，並且按下「確定」。你的應用程式有可能會自己去打開網頁，透過自己的應用程式內瀏覽器讓你去登入社群網路。我們並不是說你所連上的社群網路一定會被Heartbleed漏洞影響，但可能性是存在的，因此也就會有風險。繼續閱讀

< 執行長雲端隨筆 > 信念．傳統．創新

2014 年 04 月 12 日2014 年 04 月 08 日趨勢科技 TrendMicro

■趨勢科技執行長陳怡樺

最近微軟選了新CEO，雖然Nadella是內升的，已在微軟工作了22年，但值得注意的是，他來自目前在微軟內仍只占小部分盈收的雲端部門。

在他曾說過的話中，我很喜歡的一段是，「在這個行業裏，我們不尊敬傳統，只尊敬創新！」

真是鏗鏘有力、擲地有聲！我喜歡他這句話，是因為以一個內升的新掌舵者而言，這股霸氣和堅持是絕對必要的，尤其在資訊行業正以一秒億兆速度改變的雲端時代裡，微軟，曾幾何時已悄悄成為傳統的代表！

傳統與創新，不一定是對立的，也不一定不能並存，但墨守成規、安於現狀，絕對是創新的大敵人！如何在傳統和創新中找到平衡，是每個現有公司的課題，就連以創新為命的蘋果，也必須面對是否要繼續尊敬「賈伯斯傳統」（Big screen or not ? 【註】）的課題！

微軟新領導放手一搏

創新，是個無法用管理、用程序去規範出來的東西，能成功與否也不能用公式計算出來，有很多未知、不可測的過程，所以創新絕不只是有個好點子而已，它需要非常的堅持，百折不撓的毅力，敢破壞一切的勇氣，而這些，唯有在主事者有一個非常強烈的信念時，才可能有這樣的傻勁與放手一搏的拚勁！

所有創新的公司，在初始時都是創始者有這樣強烈的信念和傻勁才可能成功的。

但當許多人堅持相同的信念，共同奮鬥，必會因此形成某種做事的方法，也就是所謂的公司傳統。

不幸的是，傳統和信念很容易混淆，於是，當初激發創新的強烈信念，一不小心就成了禁錮創新的傳統！

傳統和信念 ( vision ) 是不同的！信念是一種想要達成的境界，傳統則常是行事的方式。

公司要有一個很強的信念，是大家可以共同信服而願意長期努力的；為達成這信念，可以「不擇手段」！舉微軟的例子來說，我覺得微軟整個公司和業界就是混亂了所謂的信念和傳統了。

微軟的信念應該是在於「information on your fingertips （資訊觸手可及）」，為達成這信念於是有了「PC on every desktop (人人用電腦，也就是電腦普及化）」的階段性目標，因此可授權給所有硬體使用的 DOS/Windows 作業系統因之產生，平價的PC果然使「PC on every desktop」成真。

我認為，那是微軟最偉大的創新，開創了人類世界「information on your fingertips」的第一步！

錯失雲端契機吊車尾

不幸的是，視窗作業系統的成功，讓其凌駕而上成了微軟的「信念」，「Windows on every device （每台終端設備搭載視窗作業系統）」成了微軟的傳統，於是創新偏離軌道，忽視了要掌握行動資訊的Fingertips，Win/Tel 已不是最好的架構，一再錯失「雲」和「端」兩方的大創新，讓Google、Android，Apple、Amazon 紛紛超前！

也因此，新上任的執行長要在他發給全員工的第一封信中，強調這句話：「在這行業中，我們不尊敬傳統，只尊敬創新！」但創新，需要強烈的信念，但願微軟重拾「information on your fingertips」的熱情吧！

中國人說，「莫忘初心」，趨勢科技去年也慶祝25周年了，資安世界變化多端，多年來我常被問，PC變成手機了，沒電腦病毒了，怎麼辨？不要錢的防毒軟體來了，怎麼辨？英特爾買了賣咖啡（McAfee在業界的別稱），怎麼辨？某競爭對手又來高薪挖角，怎麼辨？

當個CEO，每天都有無數的「怎麼辨」四面八方而來，有時真會覺得筋疲力盡，疲於應付！

所幸，有這麼一個「怎麼辨？」，卻總是會讓我挺直腰板，重拾熱情，那就是「最近客戶的資安面對了這樣、那樣的問題，怎麼辨？」

緊扣客戶需求不落伍

因為這個「怎麼辦」，正擊向我們的信念：「a world safe for exchanging digital information （安心自在交換數位資訊的美好世界）」的核心，我們熱愛資訊科技，「information on everyone’s fingertips」是如此美好、讓世界更寬廣、讓人類更平等、更互相瞭解的美麗願景，每一個來自客戶的「怎麼辦」，讓我們洞悉客戶的安全弱點，並預測駭客下一步攻擊手段，激發我們永不涸竭的創新動力！
找回初心，用創新去創造傳奇，別讓傳統禁錮了創新的熱情！

(原文刊載於經濟日報)

Heartbleed 漏洞常見問題集

2014 年 04 月 11 日2018 年 09 月 08 日趨勢科技 TrendMicro

Heartbleed漏洞讓 5％的前一百萬大網站心在淌血!新聞裡出現了一個讓許多人都很擔心的新安全問題。就是所謂的「Heartbleed漏洞。」引起了許多的混亂，尤其是關於大多數人應該關心什麼和該怎麼做。為了幫助你了解發生了什麼事而不要驚慌，這裡有一份常見問題的答案：

什麼是Heartbleed漏洞？

Heartbleed漏洞是個會影響 SSL的問題，SSL是用來保護你在網路上資料的技術。你如果要進行網路購物或在網站上輸入敏感資料就可能對SSL很熟悉，會看到一個「鎖頭」告訴你你的資料受到保護。

Heartbleed臭蟲，存在於所有實作 Heartbeat 擴充程式的 OpenSSL。當攻擊一個有漏洞的伺服器時，可以讓攻擊者一次讀取部分（最多64KB）的電腦記憶體而不會留下任何痕跡。

SSL有什麼問題？

這裡的問題是，有漏洞會影響到一些使用SSL的網站。這漏洞可能讓人有機會去存取SSL所保護的資料。

這對我來說代表什麼？

這代表你所認為會透過SSL保護的資料可能並不像你（或任何人）想得那麼安全。這代表像密碼、信用卡資料或其他個人資料等敏感資訊可能會在你不知情下洩漏給其他人。

我該如何解決這問題？

沒有辦法。在這情況裡，有問題的並不是你的電腦或設備。這是網站所必須處理的問題，修補好網站的SSL。

我可以分辨一個網站是否有這問題嗎？

不幸的是，沒有辦法。這只有運行此網站的人才能確認。

可以做些什麼來保護自己？

雖然你無法保護自己免於此特定問題，但你還是可以採取一些措施來保護自己免於此問題所可能帶來的影響。你可以進行下列步驟：

確保你在所有的系統上運行最新的安全軟體。
注意任何出現在你網路帳號和金融帳戶的可疑活動。
當網站建議你變更密碼時，馬上變更。

如果我有受到影響，應該怎麼做？

受影響的使用者必須升級到OpenSSL版本1.0.1g，它已經修補了Heartbleed臭蟲。

如果不能進行升級，你就必須重新編譯應用程式來關閉Heartbeat擴充程式。透過使用 -DOPENSSL_NO_HEARTBEATS旗標完成。

SSL憑證也必須撤銷以及換新。安裝在受影響版本OpenSSL的憑證私鑰很可能已經被外洩了。因為沒辦法知道哪些現有憑證受到影響，所以必須產生新的SSL憑證。

使用者也要考慮變更網路帳號的密碼，因為Heartbleed漏洞會暴露像使用者名稱和密碼等敏感資料。為了避免帳號受到危害，當使用者被通知重設密碼時就要盡快進行。他們還應該監控帳戶內任何可疑的活動，尤其是跟財務相關的帳戶。

趨勢科技解決方案

趨勢科技Deep Security客戶應該升級到DSRU-14-009，並指定下列規則：

1006010 – Restrict OpenSSL TLS/DTLS Heartbeat Request
1006011 – OpenSSL TLS/DTLS Heartbeat Information Disclosure Vulnerability
1006012 – Identified Suspicious OpenSSL TLS/DTLS Heartbeat Request

同時也能夠透過對網路活動的能見度和控制能力來察覺試圖對此漏洞進行的攻擊Deep Discovery可以透過規則CVE-2014-0160-SSL_HEARTBEAT_EXPLOIT來監控網頁伺服器和檢查SSL/TLS相關流量。一旦發現，Deep Discovery會尋找Heartbeat訊息回應，並檢查是否有漏洞攻擊的特徵出現，特別是連續回應數目、回應資料數量等等。這讓它可以偵測：對監控中伺服器的攻擊，在監控網路試圖去攻擊Heartbleed漏洞。這新的Deep Discovery規則已經發佈且會自動應用，因為是Deep Discovery自動更新程序的一部分。

客戶端應用程式也可能受到Heartbleed漏洞影響。如果它們連到惡意伺服器，Heartbleed漏洞就可能被用來讀取客戶端系統的記憶體。在4月11日，趨勢科技發佈以下規則以保護使用Deep Security和IDF的使用者防護這個漏洞攻擊：