安全業(yè)界的研究員們每天都在尋找新的軟件漏洞，但是已經(jīng)很久沒有象2014年這樣出現(xiàn)數(shù)量如此之多或影響范圍如此之廣的漏洞了�；仡櫦磳⒔Y(jié)束的2014年，一個(gè)又一個(gè)重量級漏洞接踵而至，受到影響的設(shè)備竟以百萬計(jì)，系統(tǒng)管理員和用戶簡直要抓狂了。

2014年被發(fā)現(xiàn)的幾個(gè)重大安全漏洞震驚了整個(gè)互聯(lián)網(wǎng)，令安全社區(qū)顏面盡失，因?yàn)檫@些漏洞并不是在新軟件中被發(fā)現(xiàn)的，而是從已經(jīng)推出了幾年甚至幾十年的老軟件中被挖出來的。有幾個(gè)漏洞可以說是普通用戶的悲劇，因?yàn)檫@么多人使用了這么久的時(shí)間，人們一直以為它們是沒有漏洞的。

SR Labs的柏林安全研究員卡爾斯滕諾爾（Karsten Nohl）稱：“人們總是認(rèn)為，擁有大量安全預(yù)算的大公司們都普遍使用的軟件肯定已經(jīng)被檢查了很多次了，大家都想偷懶，希望其他人去做檢測工作，結(jié)果誰都沒有認(rèn)真做完所有的安全檢查工作�！�

他說，今年在最常用的工具中發(fā)現(xiàn)的那些重要漏洞說明了一個(gè)問題，即黑客們已經(jīng)開始在老軟件中尋找長期被人們忽略掉的漏洞。在很多情況下，這將造成驚人的后果。現(xiàn)在就跟我們來一起歷數(shù)2014年在研究社區(qū)和全球網(wǎng)絡(luò)上橫行無忌的安全漏洞。

心臟流血

當(dāng)加密軟件失效的時(shí)候，最糟糕的結(jié)果是某些信息可能會(huì)外泄。但是當(dāng)心臟流血漏洞被黑客利用時(shí)，后果要嚴(yán)重得多。

心臟流血漏洞在今年4月被首次曝光時(shí)，黑客可以通過它向全球三分之二的網(wǎng)絡(luò)服務(wù)器發(fā)動(dòng)攻擊。那些服務(wù)器使用了開源軟件OpenSSL，心臟流血漏洞就存在于該軟件中。利用這個(gè)漏洞，黑客不僅可以破解加密的信息，而且可以從內(nèi)存中提取隨機(jī)數(shù)據(jù)。換句話說，黑客可以利用這個(gè)漏洞直接竊取目標(biāo)用戶的密碼、私人密鑰和其他敏感用戶數(shù)據(jù)。

谷歌工程師尼爾梅赫塔（Neal Mehta）和發(fā)現(xiàn)這個(gè)漏洞的安全公司Codenomicon一起開發(fā)出了對應(yīng)的補(bǔ)丁，但是即便在系統(tǒng)管理員安裝好這個(gè)補(bǔ)丁之后，用戶仍然不能肯定他們的密碼是否失竊了。因此，心臟流血漏洞促成了歷史上最大規(guī)模的修改密碼行動(dòng)。

即使到今天，很多設(shè)備上的OpenSSL存在的漏洞仍然沒有被補(bǔ)上。掃描工具軟件Shodan的發(fā)明者約翰麥瑟利（John Matherly）通過分析發(fā)現(xiàn)，現(xiàn)在仍有30萬臺服務(wù)器沒有安裝心臟流血的補(bǔ)丁，其中有很多設(shè)備可能是所謂的“嵌入式設(shè)備”，比如網(wǎng)絡(luò)攝像頭、打印機(jī)、存儲(chǔ)服務(wù)器、路由器、防火墻等。

Shellshock

OpenSSL軟件中的漏洞存在了兩年多的時(shí)間，但是Unix的“進(jìn)入子程序”功能中的一個(gè)漏洞卻是存在時(shí)間最長的漏洞，它至少存在了25年的時(shí)間才被發(fā)現(xiàn)。任何安裝了這個(gè)殼工具的Linux或Mac服務(wù)器都有被攻擊的危險(xiǎn)。

結(jié)果是，美國計(jì)算機(jī)緊急響應(yīng)小組在9月公布這個(gè)漏洞后，不到幾個(gè)小時(shí)就有上萬臺機(jī)器遭到惡意軟件的DoS攻擊。然而災(zāi)難并沒有結(jié)束，美國計(jì)算機(jī)緊急響應(yīng)小組最開始發(fā)布的補(bǔ)丁很快被發(fā)現(xiàn)自身也有一個(gè)漏洞。第一個(gè)掃描互聯(lián)網(wǎng)來尋找存在漏洞的Shellshock設(shè)備的安全研究員羅伯特大衛(wèi)格拉漢姆（Robert David Graham）稱，這個(gè)漏洞比心臟流血漏洞還要糟糕。

POODLE

心臟流血漏洞襲擊了全球的加密服務(wù)器之后僅過了6個(gè)月，谷歌的研究員們又發(fā)現(xiàn)了一個(gè)加密漏洞。這次漏洞位于安全軟件保護(hù)的另一端：與那些服務(wù)器連接的PC和手機(jī)。

存在于3.0版SSL中的這個(gè)名為POODLE的漏洞允許攻擊者劫持用戶的會(huì)話，竊取在用戶電腦與加密在線服務(wù)之間傳輸?shù)乃�有�?shù)據(jù)。與心臟流血漏洞不同的是，黑客可以利用POODLE漏洞發(fā)起攻擊時(shí)必須與目標(biāo)在同一個(gè)網(wǎng)絡(luò)上，這個(gè)漏洞威脅的主要是開放WiFi網(wǎng)絡(luò)的用戶，比如星巴克的顧客。

Gotofail

心臟流血漏洞和Shellshock漏洞給安全社區(qū)造成了巨大的震動(dòng)，以至于人們可能會(huì)忘了2014年最先被發(fā)現(xiàn)的重要漏洞Gotofail。Gotofail漏洞影響的只是蘋果用戶。

今年2月，蘋果宣布用戶的加密網(wǎng)絡(luò)數(shù)據(jù)可能會(huì)被同一本地網(wǎng)絡(luò)上的其他人截獲，這主要是因?yàn)楣芾鞳SX和iOS如何執(zhí)行SSL和TLS加密的軟件代碼中的“轉(zhuǎn)至”命令出錯(cuò)引起的。

不幸地是，蘋果只發(fā)布了一個(gè)針對iOS的補(bǔ)丁而沒有發(fā)布適用于OSX的補(bǔ)丁。也就是說，蘋果在公布這個(gè)漏洞的消息時(shí)完全讓其臺式機(jī)電腦用戶陷入了隨時(shí)被攻擊的境地。它的這個(gè)失誤甚至激起了公司自己以前的一名安全工程師專門發(fā)了一篇博客文章來痛斥它。

克里斯汀帕吉特（Christin Paget）寫道：“你們在向你們其中一個(gè)平臺發(fā)布SSL補(bǔ)丁時(shí)難道沒有想到其他的平臺？我在使用我的Mac電腦時(shí)，我隨時(shí)都會(huì)受到攻擊，而且我現(xiàn)在還只有眼睜睜地看著，什么也干不了�？蓯鄣奶O果，你他媽的在干什么？？��？��！”

BadUSB

2014年被發(fā)現(xiàn)的最陰險(xiǎn)的攻擊并沒有借助于任何軟件中的任何安全漏洞，因此它也是無法通過補(bǔ)丁來修復(fù)的。這種攻擊方式是谷歌研究員卡爾斯滕諾爾（Karsten Nohl）8月份在黑帽子安全大會(huì)上最早演示的，它依仗的是USB設(shè)備中固有的一種不安全因素。

因?yàn)閁SB設(shè)備的固件是可以被復(fù)寫的，黑客可以編寫出惡意軟件悄悄地侵入U(xiǎn)SB控制器芯片，而不是安全軟件通常在查毒時(shí)掃描的閃存。例如，一塊U盤可能會(huì)包含一個(gè)無法被安全軟件查出的惡意件，它會(huì)破壞U盤上的文件或者模擬鍵盤動(dòng)作，悄悄地將各種命令注入用戶的機(jī)器之中。

大約只有一半的USB芯片是可被復(fù)寫的，因此就有一半的USB設(shè)備會(huì)受到BadUSB的攻擊。但是由于USB設(shè)備廠商并沒有公布它們使用的是哪家廠商的芯片并且經(jīng)常更換供應(yīng)商，因此用戶不可能知道哪些設(shè)備會(huì)受到BadUSB的攻擊。

據(jù)諾爾說，針對這種攻擊方式的唯一保護(hù)方法是將USB設(shè)備當(dāng)作“一次性注射器”一樣使用，永遠(yuǎn)不要與他人共用或?qū)⑺鼈儾迦氩槐恍湃蔚臋C(jī)器。

諾爾認(rèn)為這種攻擊方式會(huì)造成很嚴(yán)重的后果，因此他拒絕公開相應(yīng)的驗(yàn)證概念代碼。但是一個(gè)月之后，另一群研究員公布了他們自己通過反向推導(dǎo)得出的攻擊代碼，迫使芯片廠商解決這個(gè)問題。很難說是否有人利用那段代碼發(fā)動(dòng)過攻擊，這意味著全球各地的人們使用的無數(shù)USB設(shè)備已經(jīng)不再安全了。

標(biāo)簽： idc linux ssl 安全 代碼 防火墻 服務(wù)器 服務(wù)器使用 谷歌 互聯(lián)網(wǎng) 漏洞 美國 網(wǎng)絡(luò) 網(wǎng)絡(luò)服務(wù)器 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。