인터넷 보안 잠 못 드는 밤: "출혈 심 혼", 그물은 전기 딜러 리플

지난 밤 (4 월 8 일) 해커와 흰색 모자에 대 한 불면의 밤 이었다. 그들 중 일부는 파티, 하나에 의해 감시가 웹사이트에 참을성 있게 수집 데이터, 사용자의 일반 텍스트 암호를 함께 넣어 유출 및 일부 열심히 업그레이드 시스템, 통계 취약점 정보, 하지만 그들은 문제;의 심각성을 깨닫게 되도록 고객의 수사학, 설득도 준비 하 고 너무 큰, 안전 상식, 채우기 위해 필사적, 삼촌 먀오족은 바쁜 그래서 전문가 인터뷰,이 역사적인 밤을 기록 하려고 찾고 있습니다.

이 밤, 인터넷 포털은 열려 있습니다.

기본 보안 프로토콜 "출혈 심 혼."

베이징 잠 못 드는 밤 전에 컴퓨터 화면에서 회사의 코사인을 알고 있다. 로 보안 기업 연구 부서 디렉터, 국내 해커 원 선임에 코사인의 고속 개발. 그는 사건의 근원에 삼촌 먀오족 브리핑. 취약점 보안 회사 Codenomicon와 Google 보안 엔지니어에 의해 발견 하 고 곧 버그 수정 발표 관련 당국에 제출 했다. 4 월 7 일에 프로그래머 숀 캐시 디는 그의 블로그에 취약점 메커니즘의 설명 자세한.

그는 OpenSSL의 소스 코드는 공격자가 서버에서 메모리의 64 k에서 데이터 콘텐츠를 것이 취약점은 공개. 이 부분의 데이터 보안 인증서, 사용자 이름 및 암호, 채팅 도구 메시지, 전자 메일 메시지, 및 중요 한 비즈니스 문서 등의 데이터를 포함할 수 있습니다.

OpenSSL은 현재 인터넷에서 가장 널리 사용 되는 보안 전송 방법 (SSL은 전체 설정된 계층 프로토콜). 그것은 인터넷에 가장 큰 판매 잠금 말 직선 근사 줄 수 있습니다. 그리고 숀 파산 허점, 64 K 정보, 있다 충분 한 인 내와 시간, 그 수 만큼의 충분 한 데이터 갈 퀴는 OpenSSL의 특정 버전 각 시간 레이크 스크랩 잠금, 침입자 여 열쇠 없이 열 수 있도록 은행 암호, DMS 및 기타 민감한 데이터의 머리를 조합해 가구의 머리 운이 수 저장소 열기 또는 은행 소유자 인 경우 구입 하 고 여기에 돈을 저장 하는 사용자의 가장 중요 한 개인 데이터는 침입자에 의해 인수 수 있습니다.

보안 업계 내부자 공개 그 유명한 전기 딜러의 웹사이트에서 데이터를 읽으려고 시도 했다 200 번을 읽고, 후 그는 취득 했다 40 개 이상의 사용자 이름과 7 암호는 그가 성공적으로 사이트에 로그인을 사용 하 여.

연구원은 준 허점을 이미지 이름: Heartbleed, 심장 출혈. 이 밤, 인터넷의 보안 코어 혈액 물방울을 시작 했다.

중국은 적어도 30000 기계 "질병"

일부 보안 연구원 OpenSSL 1.01-시리즈 버전은 취약점의 영향을, 인터넷에 널리 배포 되지 않은 때문에 취약점으로 중요 한 않을 수 있습니다 믿습니다.

중국에는 Tian의 수석 건축가 수석 보안 노동자 '는 실험실 및 Jianghai 고객 동의. 그는 Weibo에 경고 했다: "이 이번에는 늑대 정말 왔어요."

정확한 정량 분석의 문제에 코사인입니다. 4 월 8 일의 잠 못 드는 밤에 그는 더 Zoomeye 시스템의 트위터에 그리고 다양 한 포럼에서 실시간으로 최신 개발을 추적 하는 것 외에도 검색에 집중 했다. 시스템 검사에 따르면 1601250 기계는 33,303는 취약점의 영향을이 OpenSSL 443 포트를 사용 하 여 중국 전체에 걸쳐 있다! 443 포트는만 일반적인 포트의 OpenSSL 암호화 된 웹 액세스 및 메일, 인스턴트 메시징 및 다른 포트를 사용 하 고, 다른 서비스에 대 한 때문에 아직 스캔을 시간 관계.

글로벌 인터넷 서버를 크롤 링 하 고 서버, 소프트웨어 환경 및 다른 지시자의 하드웨어 구성 기록 계속 됩니다, 지문, 취약점 또는 서버 침입 여부를 확인 하려면 정기적으로 대비를 생성 Zoomeye 보안 분석 시스템은, 그것의 일은 Google와 비슷한. 이 "심 혼 블리드" 결함 검출에 코사인 시스템에 따른 문제를 사용 하 여 필터링 "신체 검사" 시스템 OpenSSL 서버, 서버 규모의 보안 위험을 얻을 수 있습니다.

30000 문제 서버 보다 더 놀라운 시스템 "신체 검사" 결과에서 이러한 서버 배포: 은행 네트워크 금융 시스템, 일부는 그들 중 일부는 제 3 자 지불, 큰 전기 비즈니스 사이트에서 일부 및 일부 인스턴트 메시징 시스템 사서함에 배포.

해커와 보안 전문가 들은 세계 각국에서 누출 파열 했다 이후 경쟁 되어 있다. 전은 끊임없이 테스트 다양 한 종류의 서버, 기어 려 민감한 사용자 데이터의 최대 수를 후자 허점에 대 한 보상 시스템을 업그레이 드를 시계 반대 경주, 너무 늦게 일부 서비스의 임시 폐쇄를 구현 하는 것. 이 순간에 가장 위험한 장소는 코사인 말한다,: 해커는 이동에 있으며 일부 기업은 여전히 자 고. 그리고 경우 해커가 서버를 침공, 피해는 훨씬 더 이상의 개인 또한 회사 데이터베이스에 저장 된 사용자 민감한 데이터의 많은 수를 포함 한다. 심지어 더 큰 문제이 허점을 실제로 등장, 2012 년에서 까지는 2 년 이상, 모르는 해커는 사용자 데이터를 악용 여부 및 취약점 서버 로그에 흔적을 떠나지 않을 것입니다 때문에, 서버 침입을 확인 하는 방법은 없습니다, 그래서 찾을 수 없습니다 손실, 새 정보를 확인 하 고 치료의 사용자에 게 알립니다.

문제 및 새로운 문제에 대 한 답변

현재, Zoomeye는 여전히 지속적으로 글로벌 서버 "신체 검사",이 과정은 약 20 시간 소요. 대조적으로, 신체 검 진을 받아야 국내 서버와 2 분에 대 한 의료 검 진을 반복 하는 30000 + "아픈" 서버에 대 한 약 22 분 걸립니다. 현재, 코사인 CNCERT/CC (국가 인터넷 응급 대응 센터), 국가 조기 경보 밖으로 운반에 목록을 제출 했다. 그러나, 모바일, 유니콤와 같은 다른 대형 기업, Cncert 또한 않았다 강제로 경고 콘텐츠를 참조 하는 다른 기업, 결국 여전히 노출 허점에 주목 하는 관련 회사를 강제로 수 있도록 일부 "아픈" 서버를 계속 할 수 있도록.

그리고 패치를 하는 동안 일반 소비자와 기업 위험을 피하기 위해 관련 조치를 취할 해야 합니다. 일반 사용자에 대 한 코사인 인터넷 뱅킹, 전자 결제, 그리고 딜러 악용 되어 해커에 의해 점령 되 고 사용자 암호를 피하기 위해 쇼핑 사용 하지 않는 것이 좋습니다. 은행 친구는 허점을 만들어 그들을 위해 2 일 걸릴 것 이라고 말해 줬 어. 두 일 우리는 더 나은 하지 로그인 그물은, 보안을 확인 하 고 다음 로그온 했다. 만약 당신이 이미 로그인 했습니다, 암호를 변경 하는 것이 좋습니다. "

그리고 사용자의 수동 위험 혐오 관련 인터넷 기업 주도권을 가능한 한 빨리 업그레이드 해야 한다. OpenSSL 최신 버전으로 업그레이드, 현재 기업 위한 가장 편리한 방법 이다이 문제를 제거할 수 있습니다. 그러나 업그레이드 후, 당신은 이론적으로 알려야 보안 인증서 사용자 (취약점 존재 하기 때문에 인증서의 키 손상 되었을 수), 그리고 수정 가능한 암호를 사용자에 게 알립니다. 이 두 측정 후 기업 얼굴을 것입니다 좋은 가격, 그리고 노출, 그래서 그 인식 가능한 미디어를 통해서만 사용자 인증서를 다운로드 하 여 자신의 암호를 수정.

"심장 출혈" 때문에 광범위 한 결함 및 은폐, 앞으로 몇 일에 연속적으로 밖으로 파열 하는 질문을 있을 수 있습니다 또한. 급속 한 발전은 인터넷의 오늘, 일부 프로토콜 수준 인프라 수준 취약점의 출현을 만들 시간에 더 큰 손실 발생 시 사용 하는 사람들 인터넷 신뢰 하지만 객관적으로 또한 확인 문제 적시 노출을 낙담 수 있습니다. 개인으로 서 본문에, 그것은 주도권을 위임 보안 및 미래 보다 자기 보호를 강화 하는 더 많은 책임이 있을 수 있습니다.