许多设备永远都不会修复心脏出血漏洞

标签: 设备 心脏 出血 | 发表时间:2014-04-13 08:05 | 作者:张珑馨
出处:http://tech2ipo.com/feed

本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《 Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险。

本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞,这一漏洞将影响超过 2/3 网站,几乎所有的网民都需要认识到这个问题的严重性,必须要更新自己的网络账号密码。但是许多存在这一漏洞的系统并不在公众视线范围之类,它们也许永远都不会被修复。


此次“出血”的漏洞来自 OpenSSL 协议,这一协议广泛存在于家庭、办公室和企业连接互联网的软件中。这一漏洞将在网络硬件、家庭自动化系统以及关键产业控制系统中继续存在多年,因为这些系统的更新频率非常低。

联网设备一般都会运行这一个简单的网页服务器,它可以让管理员进入网络控制面板。在多数情况下,这些服务器通过 OpenSSL 协议保证安全,但是安全软件公司 Lieberman Software 主席 Philip Lieberman 说,这些软件需要更新。但是许多企业并不会将漏洞更新看作是一件优先级很高的事情。“设备制造商不会为绝大多数设备提供漏洞补丁,有很大数量的补丁需要用户自己去更新。”

Lieberman 说,电视机顶盒和家用路由器将成为最受影响的设备,“ISP 商的网络上现在有百万台有漏洞的设备。”

“心脏出血”漏洞也将影响许多企业的安全。许多企业级的网络设施、产业和商业自动化系统都依赖 OpenSSL,这些设备几乎不会更新。此前有人曾经在网上发起大规模的网络地址扫描,发现了几十万个这样的设备存在各种各样的已知安全漏洞,它们涵盖了 IT 设备、交通控制系统,这些系统的漏洞都没有被修复,更不要说 OpenSSL 的漏洞。

STEALTHbits Technologies 公司策略与调查官 Jonathan Sander 认为,“不像那些有 IT 人员看管的大型服务器,这些存在 OpenSSL 漏洞的联网设备不会引起 IT 人员的注意。OpenSSL 协议就像是一台有缺陷的发动机一样,被安在了所有的汽车、摩托车上。”

很难估计到底有多少联网设备存在“心脏出血”漏洞,因为 OpenSSL 协议已经存在了很多年。安全公司 Rapid7 的安全调查员 Mark Schloesser 说:“所有在 2011 年 12 月到漏洞被爆出这段时间内使用的 OpenSSL 协议版本都存在这一漏洞。”

另一个未知的问题就是,人们还不知道黑客利用“心脏出血”漏洞可以获取多少数据。Schloesser 说,不同的系统可以获取的数据不同。以雅虎的服务器为例,黑客利用“心脏出血”漏洞可以获得用户的密码,而其他企业网站泄露的信息就没有雅虎泄露的有价值。

他还说,“有很多人正尝试用这一漏洞来进行大范围的网络入侵。”他指出自从漏洞爆出之后,网页服务器的登陆日志上能看出活跃度明显增加,有很多人都尝试发现存在安全隐患的系统,网络上也有脚本用来检测网站的漏洞。

Sander 说,许多但一目的的设备,比如说联网调温器,虽然不包含有价值的信息,但却可以让黑客有足够的全力去登陆并控制它,而且只需要一点数据就可以发现使用这个调温器的家庭里是否有人。








相关 [设备 心脏 出血] 推荐:

许多设备永远都不会修复心脏出血漏洞

- - TECH2IPO创见
本文为作者 Tom Simonite 发表在 TechnologyReview 网站上的《 Many Devices Will Never Be Patched to Fix Heartbleed Bug》一文,主要通过讲述 OpenSSL 漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新,可能永远都无法修复这一安全漏洞,看似不会造成威海,但却存在非常高的安全风险.

openssl心脏出血bug的补丁修复

- - 行业应用 - ITeye博客
先到 https://www.openssl.org/source/ 这里下载 openssl-1.0.1g.tar.gz. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.

安全漏洞“心脏出血”继续 原因是“丘比特”

- - 雷锋网
虽然距离OpenSSL爆出 心脏出血漏洞(heartbleed)已过去了有一段时间,但这个漏洞的影响却远没有结束. 葡萄牙的安全研究人员发布的一份报告显示,同样的漏洞可以在WiFi传输过程中重演,攻击者可以借此对安卓设备进行攻击. 这种新型的攻击被称为“丘比特”,攻击方式与网页漏洞有所不同. 当人们通过企业路由器或者恶意路由器连接安卓设备时,攻击者利用这个可以漏洞获取设备工作内存里的信息片段,从而窃取用户的信息.

威胁远胜“心脏出血”?国外新爆Bash高危安全漏洞

- - FreeBuf.COM
这几天Linux用户们可能不能愉快地玩耍了,红帽(Redhat)安全团队昨天爆出一个危险的Bash Shell漏洞. 其带来的威胁可能比早前披露的“心脏出血”漏洞更大更强. [OpenSSL心脏出血漏洞全回顾]  http://www.freebuf.com/articles/network/32171.html.

过犹不及说心脏

- laofish - 科学松鼠会
统计资料表明:我国自上世纪九十年代以来,无论城乡,心血管系统的疾病所致的病死率均已占至首位,而发达国家早在此前40年就已经呈现这一态势. 从马季到侯耀文,演艺界不断传出某人因心脏疾病而猝死的新闻,不时地刺激着尚在人世间的你我,提醒人们,其实死亡并不遥远,他们随时会不期而至. 我导师在本地是一位极有名气的外科医生,年轻时是医科大学运动会上四项校纪录的保持者,身体极好.

不可思议的巨蟒心脏

- Adam - Solidot
缅甸蟒蛇伸长超过五米,身体具有不可思议的膨胀能力. 它经常几个月不吃东西,然后再饱餐一顿. 有时它能吞下整只鹿,身体像气球一样膨胀起来,新陈代谢增加40多倍,包括消化道在内的许多器官会扩大一倍,心脏增大40%,为整个身体泵出更多血. 科罗拉多大学博尔德分校分子生物学家Leslie Leinwand想知道这一切是如何发生的.

空气污染是心脏病最大诱因

- Furie - Solidot
24日出版的《柳叶刀》杂志的一篇论文列出了心脏病的各种诱因. 空气污染被认为是心脏病最大诱因. 论文指出,空气污染引发心脏病的病例多于吸食毒品可卡因引发的病例,其危害程度与酒精、咖啡和过度劳累相当. 研究人员称,尽管对患者个体来说,空气污染对心脏的危害也许小于酗酒或吸毒,但从整个人口的角度来看,空气污染影响的人群最多,导致的心脏病例数量也最多.

你可能心脏病犯了,还不知道呢吧

- Marc - 译言-每日精品译文推荐
来源Discovery Health "Could you have a heart attack -- and not know it?". You're ready to watch the hero battle corruption for the good of all mankind -- to risk it all and lose his one true love in the process.

越积极,心脏越健康——哈佛大学研究结果

- . - 译言-每日精品译文推荐
来源「ポジティブな人ほど心臓が健康的」ハーバード大学が発表 – ロケットニュース24(β). ポジティブな人はさらにポジティブに、ネガティブな人はますますネガティブになりそうな研究結果が発表された.   关于积极的人会愈发积极、消极的人则愈发消极的研究结果日前被公布. 「物事を前向きに考え、自分の人生に満足している人ほど心臓が健康的」だという.

研究:吸入交通废气可引发心脏病

- 一个Man - bbcchinese.com | 主页
科学研究显示,心脏病发作的危险在吸入了汽车废气后的6小时中会上升,之后症状逐渐缓解.