安全業(yè)界的研究員們每天都在尋找新的軟件漏洞，但是已經(jīng)很久沒有象2014年這樣出現(xiàn)數(shù)量如此之多或影響范圍如此之廣的漏洞了�；仡櫦磳⒔Y(jié)束的2014年，一個又一個重量級漏洞接踵而至，受到影響的設(shè)備竟以百萬計，系統(tǒng)管理員和用戶簡直要抓狂了。

2014年被發(fā)現(xiàn)的幾個重大安全漏洞震驚了整個互聯(lián)網(wǎng)，令安全社區(qū)顏面盡失，因為這些漏洞并不是在新軟件中被發(fā)現(xiàn)的，而是從已經(jīng)推出了幾年甚至幾十年的老軟件中被挖出來的。有幾個漏洞可以說是普通用戶的悲劇，因為這么多人使用了這么久的時間，人們一直以為它們是沒有漏洞的。

SR Labs的柏林安全研究員卡爾斯滕諾爾（Karsten Nohl）稱：“人們總是認為，擁有大量安全預(yù)算的大公司們都普遍使用的軟件肯定已經(jīng)被檢查了很多次了，大家都想偷懶，希望其他人去做檢測工作，結(jié)果誰都沒有認真做完所有的安全檢查工作�！�

他說，今年在最常用的工具中發(fā)現(xiàn)的那些重要漏洞說明了一個問題，即黑客們已經(jīng)開始在老軟件中尋找長期被人們忽略掉的漏洞。在很多情況下，這將造成驚人的后果�，F(xiàn)在就跟我們來一起歷數(shù)2014年在研究社區(qū)和全球網(wǎng)絡(luò)上橫行無忌的安全漏洞。

心臟流血

當加密軟件失效的時候，最糟糕的結(jié)果是某些信息可能會外泄。但是當心臟流血漏洞被黑客利用時，后果要嚴重得多。

心臟流血漏洞在今年4月被首次曝光時，黑客可以通過它向全球三分之二的網(wǎng)絡(luò)服務(wù)器發(fā)動攻擊。那些服務(wù)器使用了開源軟件OpenSSL，心臟流血漏洞就存在于該軟件中。利用這個漏洞，黑客不僅可以破解加密的信息，而且可以從內(nèi)存中提取隨機數(shù)據(jù)。換句話說，黑客可以利用這個漏洞直接竊取目標用戶的密碼、私人密鑰和其他敏感用戶數(shù)據(jù)。

谷歌工程師尼爾梅赫塔（Neal Mehta）和發(fā)現(xiàn)這個漏洞的安全公司Codenomicon一起開發(fā)出了對應(yīng)的補丁，但是即便在系統(tǒng)管理員安裝好這個補丁之后，用戶仍然不能肯定他們的密碼是否失竊了。因此，心臟流血漏洞促成了歷史上最大規(guī)模的修改密碼行動。

即使到今天，很多設(shè)備上的OpenSSL存在的漏洞仍然沒有被補上。掃描工具軟件Shodan的發(fā)明者約翰麥瑟利（John Matherly）通過分析發(fā)現(xiàn)，現(xiàn)在仍有30萬臺服務(wù)器沒有安裝心臟流血的補丁，其中有很多設(shè)備可能是所謂的“嵌入式設(shè)備”，比如網(wǎng)絡(luò)攝像頭、打印機、存儲服務(wù)器、路由器、防火墻等。

Shellshock

OpenSSL軟件中的漏洞存在了兩年多的時間，但是Unix的“進入子程序”功能中的一個漏洞卻是存在時間最長的漏洞，它至少存在了25年的時間才被發(fā)現(xiàn)。任何安裝了這個殼工具的Linux或Mac服務(wù)器都有被攻擊的危險。

結(jié)果是，美國計算機緊急響應(yīng)小組在9月公布這個漏洞后，不到幾個小時就有上萬臺機器遭到惡意軟件的DoS攻擊。然而災(zāi)難并沒有結(jié)束，美國計算機緊急響應(yīng)小組最開始發(fā)布的補丁很快被發(fā)現(xiàn)自身也有一個漏洞。第一個掃描互聯(lián)網(wǎng)來尋找存在漏洞的Shellshock設(shè)備的安全研究員羅伯特大衛(wèi)格拉漢姆（Robert David Graham）稱，這個漏洞比心臟流血漏洞還要糟糕。

POODLE

心臟流血漏洞襲擊了全球的加密服務(wù)器之后僅過了6個月，谷歌的研究員們又發(fā)現(xiàn)了一個加密漏洞。這次漏洞位于安全軟件保護的另一端：與那些服務(wù)器連接的PC和手機。

存在于3.0版SSL中的這個名為POODLE的漏洞允許攻擊者劫持用戶的會話，竊取在用戶電腦與加密在線服務(wù)之間傳輸?shù)乃�有�?shù)據(jù)。與心臟流血漏洞不同的是，黑客可以利用POODLE漏洞發(fā)起攻擊時必須與目標在同一個網(wǎng)絡(luò)上，這個漏洞威脅的主要是開放WiFi網(wǎng)絡(luò)的用戶，比如星巴克的顧客。

Gotofail

心臟流血漏洞和Shellshock漏洞給安全社區(qū)造成了巨大的震動，以至于人們可能會忘了2014年最先被發(fā)現(xiàn)的重要漏洞Gotofail。Gotofail漏洞影響的只是蘋果用戶。

今年2月，蘋果宣布用戶的加密網(wǎng)絡(luò)數(shù)據(jù)可能會被同一本地網(wǎng)絡(luò)上的其他人截獲，這主要是因為管理OSX和iOS如何執(zhí)行SSL和TLS加密的軟件代碼中的“轉(zhuǎn)至”命令出錯引起的。

不幸地是，蘋果只發(fā)布了一個針對iOS的補丁而沒有發(fā)布適用于OSX的補丁。也就是說，蘋果在公布這個漏洞的消息時完全讓其臺式機電腦用戶陷入了隨時被攻擊的境地。它的這個失誤甚至激起了公司自己以前的一名安全工程師專門發(fā)了一篇博客文章來痛斥它。

克里斯汀帕吉特（Christin Paget）寫道：“你們在向你們其中一個平臺發(fā)布SSL補丁時難道沒有想到其他的平臺？我在使用我的Mac電腦時，我隨時都會受到攻擊，而且我現(xiàn)在還只有眼睜睜地看著，什么也干不了�？蓯鄣奶O果，你他媽的在干什么？？��？��！”

BadUSB

2014年被發(fā)現(xiàn)的最陰險的攻擊并沒有借助于任何軟件中的任何安全漏洞，因此它也是無法通過補丁來修復(fù)的。這種攻擊方式是谷歌研究員卡爾斯滕諾爾（Karsten Nohl）8月份在黑帽子安全大會上最早演示的，它依仗的是USB設(shè)備中固有的一種不安全因素。

因為USB設(shè)備的固件是可以被復(fù)寫的，黑客可以編寫出惡意軟件悄悄地侵入USB控制器芯片，而不是安全軟件通常在查毒時掃描的閃存。例如，一塊U盤可能會包含一個無法被安全軟件查出的惡意件，它會破壞U盤上的文件或者模擬鍵盤動作，悄悄地將各種命令注入用戶的機器之中。

大約只有一半的USB芯片是可被復(fù)寫的，因此就有一半的USB設(shè)備會受到BadUSB的攻擊。但是由于USB設(shè)備廠商并沒有公布它們使用的是哪家廠商的芯片并且經(jīng)常更換供應(yīng)商，因此用戶不可能知道哪些設(shè)備會受到BadUSB的攻擊。

據(jù)諾爾說，針對這種攻擊方式的唯一保護方法是將USB設(shè)備當作“一次性注射器”一樣使用，永遠不要與他人共用或?qū)⑺鼈儾迦氩槐恍湃蔚臋C器。

諾爾認為這種攻擊方式會造成很嚴重的后果，因此他拒絕公開相應(yīng)的驗證概念代碼。但是一個月之后，另一群研究員公布了他們自己通過反向推導(dǎo)得出的攻擊代碼，迫使芯片廠商解決這個問題。很難說是否有人利用那段代碼發(fā)動過攻擊，這意味著全球各地的人們使用的無數(shù)USB設(shè)備已經(jīng)不再安全了。

標簽： idc linux ssl 安全 代碼 防火墻 服務(wù)器 服務(wù)器使用 谷歌 互聯(lián)網(wǎng) 漏洞 美國 網(wǎng)絡(luò) 網(wǎng)絡(luò)服務(wù)器 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。