阿鬼
Heartbleed這個網絡安全漏洞的問題,其實還未算完全真正解決。Symantec早前向香港傳媒提供資訊,進一步再解釋Heartbleed存在的問題。有興趣可以看看。
電郵原文如下:
Heartbleed同樣會影響客戶端軟件,如網頁、電子郵件、通訊軟件、FTP、流動應用程式、VPN和軟件更新程序等。總而言之,任何客戶使用有漏洞的OpenSSL而通過SSL/TLS進行通訊,都有可能被攻擊。
此外,Heartbleed不單影響網頁伺服器,亦同時影響其他各種伺服器,包括網絡代理、媒體伺服器、遊戲伺服器、數據庫伺服器、通訊伺服器和FTP伺服器。最後,硬件裝置也無法倖免,漏洞可影響路由器、PBXes(商務電話系統)和物聯網所連接的眾多裝置。
通過Heartbleed漏洞攻擊這些軟件和硬件伺服器,與攻擊有安全漏洞的網站的方式類似。然而,針對客戶端的攻擊,基本上可以相反的方式進行。
利用Heartbleed進行攻擊一般指攻擊客戶端,透過發送一個惡意的Heartbleed訊息至有漏洞的伺服器,然後伺服器將個人數據洩露。然而,攻擊方式可完全倒轉。一個易受攻擊的客戶端可以連接至伺服器,而伺服器本身可以發送一個惡意的Heartbleed訊息至客戶端,令客戶端找出在儲存記憶中找到額外的數據以作回應,有機會洩露電子憑證和其他個人數據。
圖一:針對客戶端的攻擊方式基本上與針對伺服器的相反
幸運的是,雖然客戶端易受攻擊,但要在現實中進行攻擊卻有一定的難度。攻擊的兩個主要來源是指示客戶端瀏覽惡意的SSL/TLS伺服器,或通過一個無關的安全弱點劫持連線,而兩者均令進行攻擊時更為複雜。
引導客戶至惡意伺服器
客戶端如何被利用,最簡單的例子就是通過像一個有漏洞的網頁瀏覽器。攻擊者只需說服受害者瀏覽一個惡意網站連結,攻擊伺服器便能夠存取客戶端網頁瀏覽器的儲存記憶,令存放的cookies、網站瀏覽紀錄、表格資料和身份憑證等內容受到威脅。
最普及的網頁瀏覽器並沒有使用OpenSSL,而是使用不受Heartbleed影響的NSS(Network Security Services)資料庫。然而,許多在命令列的網頁客戶端正使用OpenSSL(如wget及curl),因而受安全漏洞所威脅。
[AdsWithin]
劫持連線
如上述所說,如要將客戶端定向至瀏覽惡意伺服器,須確定客戶能夠任意根據指示瀏覽任何伺服器。然而,許多客戶端只與一個預設、硬式編碼地網域連線。在這情況下,客戶端仍有可能被利用。在開放的共享網絡,如公共Wi-Fi網絡,用戶流量可被看見或改變,讓攻擊者將易受攻擊的客戶端重新定向。一般情況下,SSL/TLS(例如HTTPS、加密的網頁瀏覽模式)的加密能防止竊聽和重新定向,是其中一個有效解決這問題的方法。然而,攻擊者可以先於SSL/TLS連線完全建立前發送惡意的Heartbleed訊息。
攻擊者可透過加入公共網絡,以竊聽潛在的受害者。當一個潛在的受害者使用有漏洞的客戶端與合法的伺服器建立SSL/TLS連線時,攻擊者能將連接重新定向至惡意伺服器。在SSL/TLS連線完全建立,並能阻隔重新定向前,攻擊者可發送惡意的Heartbleed訊息,從受害者的電腦儲存記憶中提取內容,這可包括個人數據,如身份憑證等。
圖二:攻擊者在開放的共享網絡劫持並將有漏洞的客戶端重新定向的方式
除了先前提出的指引,我們亦有以下建議:
避免以客戶端軟件連線未知的網域,這有可能於有漏洞的OpenSSL資料庫接收Heartbleed
停止使用未經更新和修復的網絡代理服務
在廠商提供更新修復後盡快更新軟件和硬件
連接公共網絡時,使用確定為不受Heartbleed影響的VPN客戶端和服務
