视频: Heartbleed Exploit - Discovery & Exploitation (十一月 2024)
本周的新闻主要是关于Heartbleed错误的讨论,该问题使黑客可以直接从受影响的安全服务器的内存中获取数据。 捕获的数据可能包括加密密钥,密码以及通过所谓的安全HTTPS通道发送的任何数据。 该漏洞已经存在两年多了,并且由于攻击没有痕迹,所以我们不知道它被利用了多少。
谁是脆弱的?
LastPass的密码向导为产品的“安全检查”报告添加了新的内容。 现在,除了标记弱密码和重复密码外,它还列出了所有已保存的站点或易受Heartbleed攻击的站点。 我要求许多LastPass的其他用户向我发送该报告的结果,以使您了解其中的情况。
我自己在LastPass中存储了200多个密码。 据报告,其中只有六个脆弱,而已经修补了两个。 加上同事的调查结果,我看到了50个易受攻击的站点,其中30个仍未打补丁。
LastPass报告建议您更改已修补此错误的网站的密码。 对于其他用户,由于您的新密码仍然容易受到攻击,因此建议您等到网站宣布更新后再进行操作。 对于我自己,我建议将Heartbleed作为唤醒您的电话来更改所有密码,并确保每个密码都很安全并且没有两个站点使用相同的密码。 修复易受攻击的网站后,您必须再次更改其密码,但是现在将其全部更改可以最大程度地降低潜在的暴露风险。
顶级商店
从另一角度来看,我选择了Alexa最受欢迎的20个购物网站,并通过了两次在线测试。 Heartbleed新闻传出后不久,研究员Filippo Valsorda进行了测试。 LastPass还主持了按需测试
我发现Valsorda的测试结果有点令人困惑。 该测试针对我尝试的20个站点中的5个返回了一条错误消息,例如“管道中断”或“ I / O超时”。 九个站点获得了健康的健康清单,因为测试报告它们是“固定的或不受影响的”。 由于连接已切换到内容交付网络,并且CDN的证书与我输入的域不匹配,其余的六个返回了错误消息。 选中忽略证书的复选框,将所有这些结果“固定或不受影响”,但是测试页警告这可能是错误的结果。
LastPass提供的测试页提供了更多信息。 它报告说其中十个站点可能不安全。 这意味着测试无法确定站点是否使用OpenSSL(受Heartbleed错误影响的加密库)。 其中四个站点可能很容易受到攻击,因为它们确实使用OpenSSL,其中两个现在很安全。 另外四个站点绝对不容易受到攻击,而一个绝对容易受到攻击的站点现在是安全的。 由于连接错误,仅剩下一个无法分析的站点。
LastPass Heartbleed测试仪还报告每个站点的SSL证书最近更改的时间。 关于Heartbleed爆胎的消息传出后不久更改的证书很好地表明了该站点已受到影响,但现在是安全的。
对于状态不明的所有站点,最好的选择是等待站点本身的公告。 但是要小心。 不要单击您在电子邮件中收到的任何密码重置链接,因为其中一些是欺诈。 直接导航到该站点,更改您的密码,并确保您的密码管理器接受了该更改。
在此处了解PCMag对Heartbleed错误的持续报道。
