|
|
本帖最後由 beckham3 於 2014-4-21 14:03 編輯
「心臟出血」事件 (主要內容採自明報)
不少人都可能不知道Open SSL。OpenSSL計劃在1998年開始,目的是製作一套免費加密工具,將用戶傳送到伺服器的數據加密免被黑客讀取(即https連接),這套程式漸漸為Amazon、facebook、Netflix甚至美國聯邦調查局所用。
4月7日,這程式傳出過去兩年存有嚴重漏洞時,互聯網隨即掀起恐慌,有網絡保安專家甚至稱,若以1級至10級計算,今次的漏洞算是11級。人們才知道該程式原來為全球三分之二伺服器使用,跟大家生活息息相關。
「心臟出血」使未驗證的遠端使用者可利用漏洞,盜取使用者名稱及密碼,甚至伺服器數碼證書的私匙(private key)。
1) Open Source 是否可靠安全?
OpenSSL全球廣用 僅11人團隊苦撐:
當大部分網站都不付分文使用該程式加密數據時,程式背後的核心團隊卻只有4人,每年籌得的款項更不足100萬美元。.......OpenSSL出問題消息傳出後,有人質疑開放源碼問題。但程式碼出錯並不罕見,無關乎開放還是封閉與否,正如微軟和蘋果對旗下的收費程式差不多每個月都公布修補漏洞。只靠捐款運作的OpenSSL缺乏人力物力,才令問題變大。
2) 「心臟出血」救亡72小時
「心臟出血」牽連極廣,因此芬蘭企業Codenomicon發現漏洞後,決定對外保密,守密免公眾恐慌黑客突襲, 私下緊急研發修補程式...... 漏洞本來只有編號「CVE-2014-0160」,直至5日早上Codenomicon赫爾辛基辦公室的系統管理員Ossi Herrala想到了「心臟出血」,因為漏洞源自一項名為「Heartbeat」(心跳)的功能,後果則是用戶重要私隱像血般流出來。另一員工隨即註冊「Heartbleed.com」這個網名。
3) Android手機板腦易中招
很多網站都使用「SSL」(Secure Socket Layer,保安接層)加密資料(使用這方法的網址以https開頭),而OpenSSL(開放保安接層)則是現今最常見的處理軟件。......
Google承認,採用Android 4.1.1系統的裝置暴露於「心臟出血」漏洞之中,但強調其他版本Android系統未受波及;蘋果則指iOS系統不受影響。Google聲稱只有「不足10%」已激活裝置可能出事,不過《衛報》指出,以Google全球約9億部Android裝置計,這已足以危及全球數以千萬計Android 4.1.1手機。
4) 5招防「心臟出血」
(1)由於「心臟出血」漏洞影響多個網站,用家應更改所有網上服務的密碼,確保帳號的安全
(2) 利用「心臟出血」漏洞檢查工具(例如https://filippo.io/Heartbleed/),確認所使用的服務已修補該漏洞後,方可更改相關網站的登入密碼,否則仍有私隱外泄風險核查網站
(3) 刪除資料 倘若發現網站仍未修復漏洞,則應暫停使用相關服務,並刪除相關網站上的個人資料,直至確認漏洞修補再更改密碼
(4) 慎入連結 提防不法之徒利用消息散播惡意釣魚電郵騙取私隱,倘若收到更改密碼的通知電郵,不應直接按入電郵提供的連結,應直接到服務供應商網站
(5) 更新程式 用家應檢查所有的第三方應用程式會否受影響,更新所有應用程式到最新版本
資料來源﹕香港電腦保安事故協調中心
see also: http://heartbleed.com/
登入後,內容更豐富
您需要 登錄 才可以下載或查看,沒有賬號?註冊
×
|
|
在線雷達
發表於 2014-4-21 14:02:54
廣播
置頂
推舊帖
收嗲鳥
油顏色
發表於 2014-4-22 13:09:42
