日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
新數(shù)據(jù)證實(shí)黑客能通過Heartbleed漏洞竊取私鑰

網(wǎng)絡(luò)服務(wù)公司Cloudflare周六報道稱,與之前的懷疑相反,黑客可以通過被稱為“Heartbleed”的重大漏洞從有漏洞的網(wǎng)站中獲取私鑰。

創(chuàng)新互聯(lián)建站主打移動網(wǎng)站、成都網(wǎng)站設(shè)計、做網(wǎng)站、網(wǎng)站改版、網(wǎng)絡(luò)推廣、網(wǎng)站維護(hù)、域名與空間、等互聯(lián)網(wǎng)信息服務(wù),為各行業(yè)提供服務(wù)。在技術(shù)實(shí)力的保障下,我們?yōu)榭蛻舫兄Z穩(wěn)定,放心的服務(wù),根據(jù)網(wǎng)站的內(nèi)容與功能再決定采用什么樣的設(shè)計。最后,要實(shí)現(xiàn)符合網(wǎng)站需求的內(nèi)容、功能與設(shè)計,我們還會規(guī)劃穩(wěn)定安全的技術(shù)方案做保障。

就在昨天,Cloudflare發(fā)布了初步的調(diào)查結(jié)果稱,通過Heartbleed獲得重要的密鑰以解密套接層即使可能也十分困難。為了肯定這一結(jié)論,Cloudflare發(fā)起了“Heartbleed挑戰(zhàn)賽”以查看其他人利用漏洞可能導(dǎo)致的后果。公司搭建了一個nginx服務(wù)器,服務(wù)器上運(yùn)行著包含Heartbleed漏洞版本的OpenSSL,公司邀請網(wǎng)民竊取它的私鑰。

僅僅九個小時之后,芬蘭國家網(wǎng)絡(luò)安全中心(NCSC-FI)的軟件工程師Fedor Indutny和Ilkka Mattila獲得了服務(wù)器的私鑰,他們僅僅使用了Heartbleed漏洞。就在寫這篇文章之時,Cloudflare確認(rèn)了四位贏家中的另兩位——劍橋大學(xué)安全小組的博士生Rubin Xu還有安全研究員Ben Murphy。

這一結(jié)果顯示出僅僅把服務(wù)器更新至不包含Heartbleed漏洞的版本的OpenSSL是不夠的。因?yàn)镠eartbleed的攻擊默認(rèn)不顯示在服務(wù)器日志中,有漏洞的網(wǎng)站無法排除私鑰被黑客從內(nèi)存中獲取的可能性。任何擁有私鑰的人都可以用它搭建一個假冒的網(wǎng)站,這樣的網(wǎng)站事實(shí)上是無法被大多數(shù)最終用戶識別出來的。任何訪問這假冒網(wǎng)站的網(wǎng)民會看到與真正網(wǎng)站相同的https前綴和掛鎖圖標(biāo)。

獲取私人SSL證書的可能意味著,出于謹(jǐn)慎起見,使用過有漏洞版本OpenSSL的網(wǎng)站管理員應(yīng)該盡快撤銷舊證書并以新證書替換?;谑苡绊懢W(wǎng)站的數(shù)量之大,這樣的啟示可能會引發(fā)問題。

“壞消息是這個發(fā)現(xiàn)將我們的建議中的‘更換證書’變成了重要項(xiàng)”,Cloudflare公司CEO Matthew Prince在與Ars Technica的郵件中寫道,“我們已經(jīng)加速了我們更換證書的進(jìn)程?!?/p>

Cloudflare原本推測,起碼在其使用的基于Linux的平臺上,服務(wù)器證書和私鑰通常是儲存在剛開機(jī)后的內(nèi)存中的,而由于服務(wù)器系統(tǒng)并非經(jīng)常啟動,很少有可能在通過Heartbleed訪問的內(nèi)存(通常是64KB)中會包含服務(wù)器私鑰。

大規(guī)模私鑰的竊取是最糟糕的情況,因?yàn)檫@使得網(wǎng)站向制作假冒網(wǎng)站者敞開并使得監(jiān)聽者能夠破解表面上安全的通信。

最終,Indutny向Cloudflare的服務(wù)器發(fā)送了超過兩百五十萬的請求,Mattila在相同時間里發(fā)送了100,000個,他們都能夠竊取服務(wù)器私鑰。Cloudflare稱他們在挑戰(zhàn)賽開始后大約6小時重新啟動了服務(wù)器,公司認(rèn)為那次重啟“可能導(dǎo)致密鑰出現(xiàn)在未被初始化的內(nèi)存中。”

這樣敏感的信息可以被獲得,這非常麻煩,并且現(xiàn)在的解決方案不像讓用戶改改密碼這么簡單。“我們對于這項(xiàng)發(fā)現(xiàn)的建議是每個人都要以新私鑰替換舊私鑰并且廢除舊私鑰,”Cloudflare在今天的更新中寫道?!盀榱丝蛻舻睦?,Cloudflare已經(jīng)為把SSL密鑰交由我們管理的客戶們加速執(zhí)行這些工作?!?/p>

Heartbleed挑戰(zhàn)賽的首位贏家Fedor Indutny,在其推特中寫道,“我大約估計了下,TLS/SSL證書大概有650萬?!憋@然,不是每個擁有這些證書的網(wǎng)站都使用了OpenSSL,但Heartbleed已經(jīng)變成了大規(guī)模清理工程,這讓人非常震驚。

廢除和替換證書的進(jìn)程非常不便且緩慢即使沒有一半的互聯(lián)網(wǎng)在試圖同時進(jìn)行這個進(jìn)程?!叭绻芯W(wǎng)站都廢除了證書,這會向互聯(lián)網(wǎng)施加巨大的負(fù)擔(dān)并帶來性能代價,”Cloudflare在周五的博文中寫道?!癈loudflare這樣規(guī)模的廢除和替換進(jìn)程可能都會毀壞CA(證書授證)架構(gòu)?!?/p>

公司稱對于那些網(wǎng)站運(yùn)行于Cloudflare架構(gòu)的客戶們,公司已經(jīng)逐步開始了廢除和替換SSL證書的進(jìn)程,預(yù)計會在下周的某個時候完成。

原文地址:http://arstechnica.com/security/2014/04/private-crypto-keys-are-accessible-to-heartbleed-hackers-new-data-shows/


文章標(biāo)題:新數(shù)據(jù)證實(shí)黑客能通過Heartbleed漏洞竊取私鑰
網(wǎng)站網(wǎng)址:http://m.5511xx.com/article/cdjcsso.html