Thời gian đăng: 27/10/2017 10:29:28
Sửa Macbook Tại Hà Nội Vào ngày 07 tháng 4 năm 2014, CVE-2014-0160, tốt hơn được gọi là Heartbleed, đã công khai tiết lộ bởi dự án OpenSSL, ảnh hưởng đến hàng triệu người dùng và các thiết bị trên toàn thế giới. Hôm nay, hai năm trước khi báo cáo lần đầu tiên, lỗ hổng vẫn là một rủi ro, và xu hướng tạo ra các lỗ hổng mang nhãn hiệu mà nó tạo ra vẫn tiếp tục có tác động.
OpenSSL là một công nghệ mã nguồn mở được sử dụng rộng rãi trên các thiết bị đầu cuối, thiết bị di động và máy chủ. Lời hứa của OpenSSL là nó cung cấp các thư viện mật mã bảo mật lớp bảo mật / truyền tải an toàn (SSL / TLS) cần thiết để bảo đảm vận chuyển dữ liệu. Với Heartbleed, tuy nhiên, SSL / TLS có thể được giải mã, khiến người dùng gặp nguy hiểm. Chứng đau tim không chỉ là một nguy cơ lý thuyết; nó đã được sử dụng bởi tin tặc để tấn công các cơ quan chính phủ, bao gồm Cơ quan Doanh thu Canada (CRA), cũng như các ngân hàng lớn nhất ở Hoa Kỳ.
Mặc dù các bản vá của Heartbeat đã được công bố công khai trong hai năm, nhưng lỗ hổng này vẫn là một nguy cơ và có thể vẫn bị khai thác bởi những kẻ tấn công lợi dụng các máy chủ chưa được vá.
Marcus Carey, người sáng lập và Giám đốc Công nghệ của vThreat, nói với eWEEK : "Có rất nhiều tổ chức vẫn còn có nguy cơ vì họ không biết các nhà cung cấp bên thứ ba của họ đang thực hiện những sản phẩm họ chạy trên mạng của họ . "Mọi người thậm chí không biết có bao nhiêu máy tính được kết nối với mạng của họ, hãy để một mình phần mềm đang chạy trên chúng."
Sửa Laptop Tại Nhà Hà Nội
IOActive tiết lộ Inmarsat SATCOM lỗ hổng
Kaspersky cho biết phần mềm độc hại gây ra App của nó để lấy dữ liệu
Georgia Weidman, người sáng lập và CTO tại Shevirah, lưu ý bà thường xuyên chứng kiến sự xuất hiện của Heartbleed trên các hệ thống Internet trong các cuộc thử nghiệm và đánh giá tính dễ tổn thương, từ những khách hàng nhỏ đến các công ty Fortune 100.
"Những gì mọi người không nhận ra là trên nhiều máy chủ OpenSSL là phương tiện duy nhất để bảo vệ dữ liệu rất nhạy cảm trong quá trình chuyển tiếp," Weidman nói với eWEEK . "Một vấn đề được biết đến với các bằng chứng về khái niệm và hướng dẫn trên Internet về cách khai thác [lỗ hổng] - cho phép những kẻ tấn công chuyển dữ liệu được mã hoá trở lại văn bản thuần túy - là một vấn đề chính không nên bỏ qua".
Trong số nhiều nhà cung cấp mà Heartbleed bị ảnh hưởng là nhà cung cấp Linux Red Hat. Josh Bressers, chiến lược an ninh tại Red Hat, bình luận rằng tất cả các phiên bản của Red Hat Enterprise Linux, CentOS và Fedora đã có sẵn rất nhanh chóng một bản sửa lỗi cho Heartbleed. Thêm vào đó, ông lưu ý rằng Red Hat có nhiều kiểm tra tự động khác nhau có thể giúp đảm bảo khách hàng của Red Hat không bị Heartbeat hoặc bất kỳ vấn đề cố định nào khác.
Bressers nói với eWEEK : "Nếu có hệ thống vẫn dễ bị Heartbeat ra ở đó, tôi sẽ không mong đợi họ là hệ thống của Red Hat .
Trong số nhiều vấn đề, sự cố Heartbeat đã nhấn mạnh là nhu cầu hợp tác, nguồn lực và sự quan tâm để bảo vệ mã nguồn mở. Một trong những phản ứng quan trọng đối với Heartbleed đến từ Quỹ Linux dưới dạng Sáng kiến Cơ sở Hạ tầng (Core Infrastructure Initiative - CII), một nhóm chuyên về cải tiến an ninh mã nguồn mở. Trong hai năm qua, CII đã có một tác động đến việc giúp cải thiện an ninh tại dự án OpenSSL để giúp ngăn ngừa một sự cố khác của Loại Heartblow.
"OpenSSL bây giờ có một cách tiếp cận được biết đến và xuất bản để biết cách thông tin phù hợp cho tất cả các bên liên quan về các lời khuyên bảo mật", Emily Ratliff, giám đốc bảo mật cơ sở hạ tầng tại The Linux Foundation nói với eWEEK . "Ngay cả các bản vá nhỏ cũng phải tuân thủ quá trình xem xét."
Ratliff nói thêm rằng một số đánh giá rất chi tiết và được thảo luận trước khi đi bầu nhóm. Và, bà nói, cũng có nhiều cải tiến trong quản lý nhà nước trong dự án OpenSSL, một số dự án đã chắc chắn là động lực thúc đẩy nhưng vẫn được CII hỗ trợ.
"Mã OpenSSL bây giờ sạch hơn, có tổ chức hơn, và nhóm OpenSSL đã đặt ra mục tiêu để tránh phát hành các bản sửa lỗi bảo mật vào Thứ Năm / Thứ Sáu," Ratliff nói.
SửaLaptop Cầu Giấy
|
|
Chia sẻ
