许多设备永远都不会修复心脏出血漏洞
来源:互联网 发布:jetbrains golang 编辑:程序博客网 时间:2024/04/29 06:39
许多设备永远都不会修复心脏出血漏洞
本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险。
本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞,这一漏洞将影响超过 2/3 网站,几乎所有的网民都需要认识到这个问题的严重性,必须要更新自己的网络账号密码。但是许多存在这一漏洞的系统并不在公众视线范围之类,它们也许永远都不会被修复。
此次“出血”的漏洞来自 OpenSSL 协议,这一协议广泛存在于家庭、办公室和企业连接互联网的软件中。这一漏洞将在网络硬件、家庭自动化系统以及关键产业控制系统中继续存在多年,因为这些系统的更新频率非常低。
联 网设备一般都会运行这一个简单的网页服务器,它可以让管理员进入网络控制面板。在多数情况下,这些服务器通过 OpenSSL 协议保证安全,但是安全软件公司 Lieberman Software 主席 Philip Lieberman 说,这些软件需要更新。但是许多企业并不会将漏洞更新看作是一件优先级很高的事情。“设备制造商不会为绝大多数设备提供漏洞补丁,有很大数量的补丁需要用 户自己去更新。”
Lieberman 说,电视机顶盒和家用路由器将成为最受影响的设备,“ISP 商的网络上现在有百万台有漏洞的设备。”
“心 脏出血”漏洞也将影响许多企业的安全。许多企业级的网络设施、产业和商业自动化系统都依赖 OpenSSL,这些设备几乎不会更新。此前有人曾经在网上发起大规模的网络地址扫描,发现了几十万个这样的设备存在各种各样的已知安全漏洞,它们涵盖了 IT 设备、交通控制系统,这些系统的漏洞都没有被修复,更不要说 OpenSSL 的漏洞。
STEALTHbits Technologies 公司策略与调查官 Jonathan Sander 认为,“不像那些有 IT 人员看管的大型服务器,这些存在 OpenSSL 漏洞的联网设备不会引起 IT 人员的注意。OpenSSL 协议就像是一台有缺陷的发动机一样,被安在了所有的汽车、摩托车上。”
很 难估计到底有多少联网设备存在“心脏出血”漏洞,因为 OpenSSL 协议已经存在了很多年。安全公司 Rapid7 的安全调查员 Mark Schloesser 说:“所有在 2011 年 12 月到漏洞被爆出这段时间内使用的 OpenSSL 协议版本都存在这一漏洞。”
另一个未知的问题就是,人们还不知道黑客利用“心脏出血”漏洞可以获取多少数据。Schloesser 说,不同的系统可以获取的数据不同。以雅虎的服务器为例,黑客利用“心脏出血”漏洞可以获得用户的密码,而其他企业网站泄露的信息就没有雅虎泄露的有价值。
他还说,“有很多人正尝试用这一漏洞来进行大范围的网络入侵。”他指出自从漏洞爆出之后,网页服务器的登陆日志上能看出活跃度明显增加,有很多人都尝试发现存在安全隐患的系统,网络上也有脚本用来检测网站的漏洞。
Sander 说,许多但一目的的设备,比如说联网调温器,虽然不包含有价值的信息,但却可以让黑客有足够的全力去登陆并控制它,而且只需要一点数据就可以发现使用这个调温器的家庭里是否有人。
稿源:TECH2IPO创见- 许多设备永远都不会修复心脏出血漏洞
- 心脏出血漏洞修复记录
- OpenSSL心脏出血漏洞
- OpenSSL“心脏出血”漏洞
- 解码Heartbleed心脏出血漏洞
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 关于OpenSSL“心脏出血”漏洞的分析
- 解码心脏出血漏洞 图解Heartbleed Bug
- 关于 OpenSSL“心脏出血”漏洞的分析
- Openssl“心脏出血”漏洞分析及其利用
- Heartbleed心脏出血漏洞靶场搭建
- Heartbleed心脏出血漏洞原理分析
- 漏洞分析---关于OpenSSL“心脏出血”漏洞的分析
- c++ 数组操作
- 《MQL4实用编程》读书笔记(6) - 简单编程:使用技术指标
- zoj3782 Ternary Calculation
- Oozie shell action
- NYOJ737-石子合并
- 许多设备永远都不会修复心脏出血漏洞
- 我的立体联系方式
- 迅雷重启IPO在缄默期
- EXCEL学习笔记
- android:shrinkColumns的用法
- android SharedPreferences介绍(一)
- Unity3D自带例子AngryBots的分析
- 周杰伦澳洲过安检双节棍被扣 被质疑挟大批武器入境
- ZOJ3787 Access System