欢迎来到后世界心血。我们已经修补了服务器,并正在更换 SSL 证书。但是,我们的服务器已经修复,并不意味着互联网的其余部分也已修复。我们有员工,他们使用互联网交换信用卡号和登录凭据等机密信息。他们正在向我们寻求建议。
我们可以建议客户使用Heartbleed 测试页面看看他们想要访问的网站是否有漏洞。如果网站返回肯定,则不要与其交换机密。但如果网站确实不是Heartnet 返回阳性,则可能出现以下情况:
- 该网站从未存在漏洞(好)
- 该网站存在漏洞并已修复,但仍在使用可能已泄露的 SSL 证书(糟糕)
- 该网站存在漏洞并已修复,并重新生成了 SSL 证书,但没有重新生成密钥(不好)
- 该网站存在漏洞,已修复,重新生成密钥,并替换了 SSL 证书。(好)
在员工将信用卡号输入表格之前,我们有什么办法可以让他们告诉好的场景来自坏的那些?
我们如何指导我们的员工尽量减少他们接触受 Heartbleed 攻击的服务器的机会?
答案1
本质上,没有一种方法可以区分好的场景和坏的场景,因为您的用户无法完全了解他们正在使用的系统。
该漏洞造成的损害程度目前仍未可知,大部分损害可能已在过去造成,并将长期影响互联网。我们只是不知道哪些机密被窃取、何时被窃取、或被谁窃取。
例如:Google 的 OpenSSL 心脏出血已持续约一年。未知的对手窃取服务器信息并寻找有趣的秘密 - 再次说明,我们无法知道他们是否这样做 - 直到他们找到有权访问其他系统(例如 Twitter.com 或 AnyBank.co.uk 或 dev.redhat.com)的人的帐户。通过访问此类帐户,他们可能会继续挖掘,访问其他系统,造成其他损害(可见或不可见),进一步危及其他帐户 - 而没有人怀疑入侵的来源。在此阶段,您已经远离了正在出血的 OpenSSL 服务器,这是 Heartbleed 最严重的后果之一。除此之外,还有服务器私钥被泄露的风险。
信任需要很长时间才能建立,而且很快就会消失。我并不是说我们以前在互联网上没有信任问题,但 Heartbleed 肯定没有帮助。修复损害需要很长时间,理解这一点是理解如何保护自己和员工/客户/老板等的一部分 - 以及你不能做什么。有些事情你可以控制,以限制你暴露于漏洞,有些事情你无法控制 - 但它们仍然会影响你。例如,你无法控制其他人如何决定应对此漏洞 - 据报道,美国国家安全局发现了该漏洞但保持沉默。这对我们其他人来说非常糟糕,但我们没有办法保护自己免受其害。
作为互联网用户,您可以且应该:
- 理解到底有多糟糕错误是
- 不要回复或点击要求您重置密码的电子邮件中的链接 - 而是直接访问公司/组织的网站并主动重置密码。这些骗子喜欢进行网络钓鱼
- 检查你的 Android 手机是否存在 Heartbleed 漏洞。应用程序来自 Lookout Mobile Security 的检查您的 OpenSSL 版本。
检查所访问的网站是否存在 Heartbleed(不完整清单):
服务器是否使用 OpenSSL?
- 不:您没有直接受到(此漏洞)的影响。请继续使用该网站,但请更改密码,以防直接或间接受到此漏洞影响的其他服务器可以访问您的密码。当然,这假设该网络上的所有此类服务器都已打上补丁、颁发了新证书……等等。
- 是的:转至2。
服务器是否使用无 Heartbleed 漏洞的 OpenSSL 版本?请确保您的 check-for-heartbleed 工具确实检查漏洞,而不是 HTTP 标头或其他“指标”。
- 不:不要向网站提交任何秘密,但如果可能的话,请向网站管理员提交一份说明。
- 是的:转至3。
OpenSSL 的先前版本是否存在 Heartbleed?
- 不:一些管理员没有升级到最新的 OpenSSL 版本,因为它还没有经过足够长时间的现场测试。他们的服务器从未受到此漏洞的攻击,但出于上述原因,您最好还是更改密码。
- 是的:该服务器存在漏洞,在升级到存在漏洞的版本和被披露之间(最长两年,甚至三年),任何内存数据都可能遭到泄露。
这里我们回到信任问题:当你失去某人的信任时,这是一件坏事。尤其是当那个人是你的用户/客户/老板时。要重新获得他们的信任,你必须重新开始建立信任,并开启对话。
以下是网站管理员可以发布的内容以开始此操作:
- 先前的 OpenSSL 版本(易受攻击/不易受攻击)
- 当前版本以及更新时间
如果以前版本的 OpenSSL 存在漏洞:
- 当前 SSL 证书的生成时间
- 旧证书被撤销的详细描述
- 确保新证书使用了新的机密
- 根据以上信息为用户提供建议
如果您是用户,您完全有权要求提供此类信息,而且为了服务的所有用户的利益,您也应该这样做。这将增加安全社区的知名度,并使用户更容易将他们暴露于受感染服务器的风险降至最低。