0
| 本文作者: 墨痕 | 2014-12-31 10:52 |
處理新發現的軟件漏洞,一直是網上日常生活的一部分,但很少有年份像2014年一樣發現如此多影響數百萬設備安全性的漏洞。
2014年出現的幾個撼動互聯網的漏洞,都不是在新軟件中發現的。相反,它們隱藏在幾年甚至幾十年前的代碼中,大家普遍認為這些代碼經過了嚴格的審查,但誰能想到呢。
普遍的觀點認為,如果某一個軟件被有巨額安全預算的公司廣泛應用,那它肯定被檢查了數百萬次。每個人都在靠別人來做測試。這也激發了更多的黑客在長期使用的代碼中尋找漏洞,這樣的結果令人不寒而栗。
雷鋒網帶大家細數下2014年影響最大的漏洞。
Heartbleed又名“心臟出血”,從名字上就能看出它有多危險。
今年4月,Heartbleed首次被曝光,它允許黑客攻擊任何采用OpenSSL的服務器,它不僅可以破解加密數據,還可從內存里讀取隨機數據,影響了全網約三分之二的服務器。
它允許黑客直接竊取用戶密碼,私人秘鑰以及其他一些敏感數據。即使修復了Heartbleed,用戶也需要大規模修改密碼。
直到現在,很多服務器仍然沒有修復,據統計,仍有30萬網絡設備仍沒有安裝補丁,其中包括一些網絡攝像頭、打印機、存儲服務器、路由器和防火墻等。
OpenSSL的漏洞使得Heartbleed存在了2年多之久,但是存在于Unix“bash”功能中的漏洞,或許可以贏得最古老漏洞獎。它誕生至今已有25周年,沒有在公開場合被發現過。任何包括了shell工具的Linux或Mac服務器都可能受影響。
今年9在漏洞被發現的一段時間內,就有上千臺電腦感染了惡意軟件,被用于僵尸網絡攻擊。。而且,初步補丁很快就被發現存在自身漏洞。第一個找到這一安全漏洞安全研究員Robert David Graham稱,它比Heartbleed還嚴重。
在Heartbleed攻擊了世界各地的加密服務器6個月后,一組谷歌研究人員發現了另一個加密漏洞,可攻擊連接到服務器另一端的設備:電腦和電話。
這個存在于SSL 3.0中的漏洞允許黑客攻擊用戶電話,攔截用戶電腦和在線服務之間加密的所有數據,不同于Heartbleed,黑客若想要利用POODLE漏洞,就必須和被入侵者在同一個網絡。該漏洞主要是威脅開放WiFi網絡。
Heartbleed和Shellshock影響如此之深,以至于我們都忘了2014年的第一個重大漏洞,不過它僅能影響蘋果用戶。
2月時蘋果透露,蘋果用戶自己的加密網絡流量容易受到同在本地網絡內的其他人的攔截。該漏洞被稱為Gotofail,是由在OSX和iOS上,實現SSL和TLS數據加密的代碼的“goto”命令錯置造成的。
讓問題加劇的是,蘋果為iOS發布了補丁,但沒管OS X!這就等于公布了一個漏洞,但不做任何安全措施!也難怪不少用戶都會罵娘了。
在2014年發現的最陰險的漏洞與軟件代碼中的漏洞沒關系,這讓它幾乎無法修補。它就是BadUSB,初次亮相于8月份的黑帽大會上,讓USB安全陷入信任危機。
由于內存芯片可被重寫,黑客可用惡意軟件感染USB控制器芯片,這讓它無法像平常一樣被掃描出來。例如,拇指驅動器可能包含無法察覺的惡意軟件,偷偷竊取用戶指令。
只有大約一半的USB芯片是可重寫的,會受到BadUSB攻擊。但由于USB制造商經常心血來潮更換供應商,幾乎不可能知道哪些設備容易受到BadUSB攻擊。唯一的應對方法就是,把USB設備當“注射器”一樣使用,永遠不共享或者絕不插入到一個不可信的設備上。
在漏洞公布后不久,一組研究人員公布了逆向工程版本的攻擊代碼,想以此向芯片制造商施壓,解決問題。雖然很難說是否有人會利用這些代碼,但這意味著數以百萬計的USB設備將陷入相當不值得信任的狀態。
via wired
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
