据报道,目前全球前2000名的企业当中仍有四分之三在使用具有潜在威胁的、易受攻击的服务器,造成如此现象的主要原因是这些公司并没有彻底的加固系统来对抗去年报道出来的 OpenSSL Heartbleed。密钥管理公司Venafi最近报道了这一消息。
通过扫描2000家公司的面向公众系统得出这样的结果,有差不多74%的业务仍然处在易受攻击的环境里,主要表现在两个方面,一是加密秘钥的欺诈使用和Heartbleed脆弱性被曝光之后的证书被盗这两点。虽然有的公司已经给OpenSSL软件打上了补丁,但是攻击者还是照样可以利用 Heartbleed来获得Secure Sockets Layer (SSL)密钥和网站易受攻击的证书、虚拟专用网络和其他服务器。而这两千家企业里还有一千两百家在使用这些证书和密钥,相当于置他们于未来的危险当中。Venafi安全战略副主席Kevin Bocek如是说。
就在前几天,OpenSSL Project 报道说,由于他们广泛使用Secure Sockets Layer (SSL)协议可能会使得攻击者利用一个软件的普通功能就可以远程获取服务器里的敏感数据。后来在一个简单的攻击案例里面,调查人员真的可以远程获取密码、安全数据和私人密钥。
当然,一些受欢迎的有知名度的网站和服务商标会快速给软件打上补丁,至少是在48小时内可以做到这一点。例如 Alexa Top 500 列出的易受攻击的服务器网站就已经更新了 OpenSSL 软件。不管怎么样,攻击者总是会抓住漏洞出现的时机,在你修复漏洞之前就已经窃取了自己想要的东西。
攻击者从大公司获取密钥达到了什么程度这一点还不得而知,然而,密钥恢复过程中通过Heartbleed的时候是允许攻击者违反卫生保健社区系统并盗取患者的个人信息。在去年8月份的时候就有这样的事情,当时有450万条个人信息泄露。
为了彻底加固系统,公司不得不追捕到所有泄露出去的密钥和证书,尤其是在Heartbleed公布出来和公司给服务器打补丁这段时间之内。所以公司必须重新补发新的证书,但是要产生一个新的密钥。
上面的例子完全就是好了伤疤忘了疼的典型案例,记得去年因为这样一个心脏流血的漏洞使得IT行业人心惶惶,可是当这一事件过去之后,调查显示这样的漏洞危机并没有真正的远离。我们需要做的当然不只是解决眼前问题,而是要解决会不会复发的问题。
CSDN研发业界将持续为您优选软件研发的精华内容,共同探讨软件研发的技术热点话题,涵盖编程语言、开发工具、开源软件及开源硬件、团队管理等方方面面,如果您有想分享的技术、观点,都可通过电子邮件(xueliang@csdn.net)投稿。