0
| 本文作者: 墨痕 | 2014-12-31 10:52 |
處理新發(fā)現(xiàn)的軟件漏洞,一直是網(wǎng)上日常生活的一部分,但很少有年份像2014年一樣發(fā)現(xiàn)如此多影響數(shù)百萬設(shè)備安全性的漏洞。
2014年出現(xiàn)的幾個(gè)撼動(dòng)互聯(lián)網(wǎng)的漏洞,都不是在新軟件中發(fā)現(xiàn)的。相反,它們隱藏在幾年甚至幾十年前的代碼中,大家普遍認(rèn)為這些代碼經(jīng)過了嚴(yán)格的審查,但誰能想到呢。
普遍的觀點(diǎn)認(rèn)為,如果某一個(gè)軟件被有巨額安全預(yù)算的公司廣泛應(yīng)用,那它肯定被檢查了數(shù)百萬次。每個(gè)人都在靠別人來做測(cè)試。這也激發(fā)了更多的黑客在長(zhǎng)期使用的代碼中尋找漏洞,這樣的結(jié)果令人不寒而栗。
雷鋒網(wǎng)帶大家細(xì)數(shù)下2014年影響最大的漏洞。
Heartbleed又名“心臟出血”,從名字上就能看出它有多危險(xiǎn)。
今年4月,Heartbleed首次被曝光,它允許黑客攻擊任何采用OpenSSL的服務(wù)器,它不僅可以破解加密數(shù)據(jù),還可從內(nèi)存里讀取隨機(jī)數(shù)據(jù),影響了全網(wǎng)約三分之二的服務(wù)器。
它允許黑客直接竊取用戶密碼,私人秘鑰以及其他一些敏感數(shù)據(jù)。即使修復(fù)了Heartbleed,用戶也需要大規(guī)模修改密碼。
直到現(xiàn)在,很多服務(wù)器仍然沒有修復(fù),據(jù)統(tǒng)計(jì),仍有30萬網(wǎng)絡(luò)設(shè)備仍沒有安裝補(bǔ)丁,其中包括一些網(wǎng)絡(luò)攝像頭、打印機(jī)、存儲(chǔ)服務(wù)器、路由器和防火墻等。
OpenSSL的漏洞使得Heartbleed存在了2年多之久,但是存在于Unix“bash”功能中的漏洞,或許可以贏得最古老漏洞獎(jiǎng)。它誕生至今已有25周年,沒有在公開場(chǎng)合被發(fā)現(xiàn)過。任何包括了shell工具的Linux或Mac服務(wù)器都可能受影響。
今年9在漏洞被發(fā)現(xiàn)的一段時(shí)間內(nèi),就有上千臺(tái)電腦感染了惡意軟件,被用于僵尸網(wǎng)絡(luò)攻擊。。而且,初步補(bǔ)丁很快就被發(fā)現(xiàn)存在自身漏洞。第一個(gè)找到這一安全漏洞安全研究員Robert David Graham稱,它比Heartbleed還嚴(yán)重。
在Heartbleed攻擊了世界各地的加密服務(wù)器6個(gè)月后,一組谷歌研究人員發(fā)現(xiàn)了另一個(gè)加密漏洞,可攻擊連接到服務(wù)器另一端的設(shè)備:電腦和電話。
這個(gè)存在于SSL 3.0中的漏洞允許黑客攻擊用戶電話,攔截用戶電腦和在線服務(wù)之間加密的所有數(shù)據(jù),不同于Heartbleed,黑客若想要利用POODLE漏洞,就必須和被入侵者在同一個(gè)網(wǎng)絡(luò)。該漏洞主要是威脅開放WiFi網(wǎng)絡(luò)。
Heartbleed和Shellshock影響如此之深,以至于我們都忘了2014年的第一個(gè)重大漏洞,不過它僅能影響蘋果用戶。
2月時(shí)蘋果透露,蘋果用戶自己的加密網(wǎng)絡(luò)流量容易受到同在本地網(wǎng)絡(luò)內(nèi)的其他人的攔截。該漏洞被稱為Gotofail,是由在OSX和iOS上,實(shí)現(xiàn)SSL和TLS數(shù)據(jù)加密的代碼的“goto”命令錯(cuò)置造成的。
讓問題加劇的是,蘋果為iOS發(fā)布了補(bǔ)丁,但沒管OS X!這就等于公布了一個(gè)漏洞,但不做任何安全措施!也難怪不少用戶都會(huì)罵娘了。
在2014年發(fā)現(xiàn)的最陰險(xiǎn)的漏洞與軟件代碼中的漏洞沒關(guān)系,這讓它幾乎無法修補(bǔ)。它就是BadUSB,初次亮相于8月份的黑帽大會(huì)上,讓USB安全陷入信任危機(jī)。
由于內(nèi)存芯片可被重寫,黑客可用惡意軟件感染USB控制器芯片,這讓它無法像平常一樣被掃描出來。例如,拇指驅(qū)動(dòng)器可能包含無法察覺的惡意軟件,偷偷竊取用戶指令。
只有大約一半的USB芯片是可重寫的,會(huì)受到BadUSB攻擊。但由于USB制造商經(jīng)常心血來潮更換供應(yīng)商,幾乎不可能知道哪些設(shè)備容易受到BadUSB攻擊。唯一的應(yīng)對(duì)方法就是,把USB設(shè)備當(dāng)“注射器”一樣使用,永遠(yuǎn)不共享或者絕不插入到一個(gè)不可信的設(shè)備上。
在漏洞公布后不久,一組研究人員公布了逆向工程版本的攻擊代碼,想以此向芯片制造商施壓,解決問題。雖然很難說是否有人會(huì)利用這些代碼,但這意味著數(shù)以百萬計(jì)的USB設(shè)備將陷入相當(dāng)不值得信任的狀態(tài)。
via wired
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
