本周从互联网安全的角度铆接。在OpenSSL图书馆发现了一个小而毁灭性的安全缺陷 - 从字面上发现了世界上最无处不在的SSL协议实现。

1990年中期的SSL协议的发展在万维网演变中标志着流域事件。二十年前,“网络”只是一种用于共享有趣内容的车辆。然而,今天,网络是购买产品,支付税收,制作银行交易的代名词,甚至利用普遍的商业级服务(例如,SAAS应用程序),以执行客户关系管理,人力资源,费用报告等重要功能以及其他事情的工资单。

对于二十多年前的网络成为今天的网络,重要的是在安全层中建立,以便人们可以安全地进行在线交易。并且SSL协议成为De-Facto安全层。对于人们能够在网上交易,他们必须相信SSL是Sac鱼的。他们不得不相信,他们通过SSL传播的机密数据被保障地反对窥探眼睛。

“Heartbleed”缺陷,因为它被命名,在那些信仰上施放了阴影。缺陷允许攻击者从Internet上的Web服务器中释放出备受机密数据。该数据可以包括密码,社会安全号码等。在极端情况下,它可能包含用于加密和解密数据的服务器的实际加密密钥。随着这些众所周知(和文字)钥匙对王国,攻击者可以获得对您过去传播的任何敏感的印刷品。

编辑注意:在下面的视频中,Ramzan解释了有效的作用。

Heartbled的缺陷令人惊讶的是简单,这幸运的是,它很容易解决。随着现在的缺陷是公众知识,我们必须处理的下一阶段是损害缓解和控制。网站运营商需要升级OpenSSL并丢弃先前的加密密钥,以支持新鲜的密钥。

但杂皮周果是什么意思?

要更改所有在线密码的传统智慧仍然适用。但是,在你这样做之前,请确保您可以安全地进行。了解您访问的网站是否修复了最终的Heartbleed问题。一种方法是使用这种蠕动的漏洞测试网站。输入您想知道的网站的域名,如果测试员响应网站似乎安全,那么您应该清楚。

只有,只有你应该更新密码。

此外,由于攻击可能已经在没有任何人的先前知识的情况下进行,因为警惕检查信用卡陈述和欺诈性交易。

最终,Heldbleed的最损害的结果是它已经震动了我们对网络的信心。由于在线交易今天是第二种自然,因此很容易忘记它在其中的一系列中是一种复杂的操作中的复杂系列相互作用。这种复杂性可能导致混淆 - 到毁灭性简单的缺陷可以在明显隐藏的地方。

Zulfikar是Elastica的首席技术官。在这一角色中,他推动Elastica在利用数据科学和机器学习技术方面努力,以提高云服务的安全性。在加入Elastica之前,Zulfikar是SourceFire(Cisco收购)的首席科学家,在其云技术集团中。他掌握了一个博士学位。来自马萨诸塞术学院的电气工程与计算机科学,在密码学中文工作。

相关文章