歡迎來到之後的世界心血。我們已經修補了我們的伺服器並正在更換我們的 SSL 憑證。但僅僅因為我們的伺服器是固定的,並不意味著網路的其餘部分是固定的。我們有員工,他們使用網路交換信用卡號碼和登入憑證等秘密。他們正在向我們尋求建議。
我們可以建議我們的客戶使用Heartbleed 測試頁查看他們想要造訪的網站是否有漏洞。如果網站傳回正值,則不要與其交換秘密。但如果一個網站這樣做不是Heartnet 傳回正值,情況可能是下列任一:
- 該網站從未存在過該漏洞(好)
- 該網站存在漏洞並已修復,但仍在使用可能受損的 SSL 憑證(不良)
- 該網站存在漏洞並已修復,並重新生成了 SSL 證書,但沒有重新生成密鑰(不好)
- 該網站存在該漏洞,修復了該漏洞,重新產生了金鑰,並替換了 SSL 憑證。 (好的)
在員工將信用卡號輸入表格之前,我們是否可以透過某種方式告知他們好的場景來自壞的那些?
我們如何指導員工盡量減少接觸受 Heartbleed 危害的伺服器?
答案1
從本質上講,不,沒有一種方法可以區分好場景和壞場景,因為您的用戶無法完全了解他們正在使用的系統。
此錯誤造成的損害程度仍然很大程度上未知,大部分損害可能是在過去造成的,並將在很長一段時間內繼續影響網路。我們只是不知道哪些秘密被竊取、何時被偷走、被誰竊取。
例如:Google的OpenSSL心臟流血了大約一年。未知的對手會竊取伺服器並尋找有趣的秘密 - 同樣,我們無法知道他們是否這樣做 - 直到他們找到屬於有權訪問另一個系統(例如 Twitter.com 或 AnyBank)的某人的帳戶。 dev.redhat.com。透過存取此類帳戶,他們可能會繼續挖掘,存取其他系統,造成其他損害(可見或不可見),進一步損害其他帳戶 - 沒有人懷疑違規的根源。在這個階段,您已經遠離了流血的 OpenSSL 伺服器,這是 Heartbleed 帶來的更嚴重的後果之一。除此之外,還有伺服器私鑰外洩的風險。
信任需要很長時間才能建立,並且很快就會消失。我並不是說我們以前在網路上沒有信任問題,但 Heartbleed 絕對沒有幫助。修復損壞需要很長時間,了解這一點是了解如何保護自己和員工/客戶/老闆等以及如何不能保護的一部分。有些事情您可以控制,以限制您暴露於漏洞的風險,有些事情您無法控制 - 但它們仍然會影響您。例如,您無法控制其他人決定如何回應此漏洞 - 據報道,美國國家安全局發現了該漏洞,但保持沉默。這對我們其他人來說非常糟糕,但我們沒有辦法保護我們免受它的侵害。
作為互聯網用戶,您可以而且應該:
- 理解到底有多糟糕錯誤是
- 不要回覆/點擊要求您重設密碼的電子郵件中的連結 - 而是直接訪問公司/組織的網站並主動重設您的密碼。像這些騙子喜歡進行網路釣魚的時代
- 檢查您的 Android 手機是否有 Heartbleed。有一個應用程式Lookout Mobile Security 檢查您的 OpenSSL 版本。
檢查您造訪的 Heartbleed 網站(不完整的清單):
伺服器是否使用 OpenSSL?
- 不:您沒有直接受到影響(受到此錯誤的影響)。繼續使用網站,但請變更您的密碼,以防直接或間接受該錯誤影響的其他伺服器存取您的密碼。當然,這是假設該網路上的所有此類伺服器都已修補、頒發了新證書......等等。
- 是的: 轉到2。
伺服器是否使用無 Heartbleed 版本的 OpenSSL?確保您的 check-for-heartbleed-tool 確實檢查漏洞,而不是 HTTP 標頭或其他「指標」。
- 不:不要向網站提交任何機密,但如果可能,請向網站管理員提交註釋。
- 是的: 轉至3。
以前版本的 OpenSSL 有沒有 Heartbleed?
- 不:有些管理員沒有升級到最新的 OpenSSL 版本,因為它沒有經過足夠長的現場測試。他們的伺服器從來不會受到此錯誤的影響,但由於上述原因,您最好還是更改密碼。
- 是的:伺服器存在漏洞,從升級到存在漏洞的版本到披露期間(長達兩年甚至三年),任何記憶體中的資料都可能受到損害。
在這裡我們回到信任:當你失去某人的信任時,那是一件壞事。特別是如果那個人是你的用戶/客戶/老闆。為了重新獲得他們的信任,你必須重新開始建設,並敞開心扉進行對話。
以下是網路管理員可以發布的內容:
- 以前的 OpenSSL 版本(易受攻擊/不易受攻擊)
- 目前版本以及更新時間
如果先前版本的 OpenSSL 存在漏洞:
- 目前SSL憑證產生時間
- 舊證書如何被吊銷的詳細說明
- 確保新憑證使用新機密
- 根據以上資訊給使用者的建議
如果您是用戶,您完全有權要求此類訊息,並且為了該服務的所有用戶,您應該這樣做。這將提高安全社群的可見性,並使用戶更容易最大程度地減少受感染伺服器的暴露。