2014年4月23日星期三

Heartbleed為網絡客戶和物聯網帶來長遠危機


Heartbleed漏洞存在於OpenSSL,由於運用OpenSSL進行加密連線的系統相當普遍,不少社交網絡及網上服務,如Facebook、Instagram、Twitter、Google、Yahoo、Gmail、Dropbox等均受此漏洞影響,須立即進行修補以免影響擴大。

雖然大眾傾向將焦點放於Heartbleed漏洞,對公共網站安全的影響,惟該漏洞的影響遠不止於此。即使大多數熱門網站已作出相應措施,不再受漏洞影響,但並不代表終端用戶可以掉以輕心。

對企業而言,Heartbleed同樣會影響客戶端軟件,如網頁、電子郵件、通訊軟件、FTP、流動應用程式、VPN和軟件更新程序等。總而言之,任何使用有漏洞的OpenSSL,而通過SSL/TLS進行通訊,都有可能被攻擊。此外,Heartbleed不單影響網頁伺服器,亦同時影響其他伺服器,包括網絡代理、媒體伺服器、遊戲伺服器、數據庫伺服器、通訊伺服器,和FTP伺服器。就連硬件裝置也無法倖免,漏洞可影響路由器、PBXes(商務電話系統),和物聯網所連接的眾多裝置。通過Heartbleed漏洞攻擊這些軟件和硬件伺服器,與攻擊有安全漏洞的網站方式類似。然而,針對客戶端的攻擊,基本上可以相反的方式進行。

利用Heartbleed進行攻擊,一般指攻擊客戶端,透過發送一個惡意的Heartbeat訊息至有漏洞的伺服器,然後伺服器將個人數據泄露。然而,攻擊方式可完全倒轉。一個易受攻擊的客戶端可以連接至伺服器,而伺服器本身可以發送一個惡意的Heartbeat訊息至客戶端,令客戶端找出儲存記憶中的額外數據以作回應,有機會泄露電子憑證和其他個人數據。

引導客戶至惡意伺服器

雖然客戶端易受攻擊,但要在現實中進行攻擊卻有一定難度。攻擊的兩個主要來源,是指示客戶端瀏覽惡意的SSL/TLS伺服器,或通過一個無關的安全弱點劫持連線,而兩者均令進行攻擊時更為複雜。

客戶端如何被利用,最簡單的例子就是通過像一個有漏洞的網頁瀏覽器。攻擊目標一旦被誘導瀏覽惡意網站連結,攻擊伺服器即能存取客戶端網頁瀏覽器的儲存記憶,令存放的cookies、網站瀏覽紀錄、表格資料,和身份憑證等內容受到威脅。最普及的網頁瀏覽器並沒有使用OpenSSL,而是使用不受Heartbleed影響的NSS(Network Security Services)資料庫。然而,許多在命令列的網頁客戶端正使用OpenSSL(如wget及curl),因而受安全漏洞所威脅。

如要將客戶端導向至瀏覽惡意伺服器,須確定客戶能任意根據指示瀏覽任何伺服器。然而,許多客戶端只與一個預設、硬式編碼地網域連線。此情況下,客戶端仍有可能被利用。在開放的共享網絡,如公共Wi-Fi網絡,用戶流量可被看見或改變,讓攻擊者將易受攻擊的客戶端重新導向。一般情況下,SSL/TLS的加密能防止竊聽和重新導向,是其中一個有效解決這問題的方法。然而,攻擊者可以先於SSL/TLS連線完全建立前,發送惡意的Heartbeat訊息,從受害者的電腦儲存記憶中提取內容,包括個人數據,如身份憑證等。因此建議避免以客戶端軟件連線未知的網域、停止使用未經更新和修復的網絡代理服務、在廠商提供更新修復後盡快更新軟件和硬件,以及在連接公共網絡時,使用確定為不受Heartbleed影響的VPN客戶端和服務。



沒有留言:

發佈留言