留言討論


分享本文至 E-mail 信箱

OpenSSL 漏洞席捲全世界,企業與個人該如何應對?

2014 年 04 月 14 日

這不是你最近第一次聽到「Heartbleed」,但你可能忽略了其嚴重性。最近在函式庫(Library)OpenSSL中被找到一個漏洞,透過這個漏洞駭客可以藉由電腦伺服器的工作記憶體,非法取得密碼以及其他資訊,由於全球有一半以上的網站都使用OpenSSL,因此這股心臟出血風潮正席捲全世界,連許多大型的網路服務公司,像是Google、Yahoo、Facebook等都無法避免。

從4月8號Google以及網路安全公司Codenomicon發現這個漏洞以來,各家網站開始做出許多防護措施,台灣網路資安公司DEVCORE的創辦人Allen Own給了網站管理者幾點建議:

l   可以透過https://filippo.io/Heartbleed/來檢驗網站

l   利用http://s3.jspenguin.org/ssltest.pyhttp://pastebin.com/WmxzjkXJ等工具來看網站記憶體資料是否已經跑出

l   更新OpenSSL

l   更換SSL憑證

l   更換全站密碼(因為可能外洩)

Allen Own指出:「目前能完整做到這三點更換的網站還不多,還有許多公司連憑證都沒有換,一旦這些都外洩的話,根本沒有任何安全可言」。不過這次也不是100%都陣亡,因為「微軟的方案這次都沒事」。

針對個人用戶,Allen 也提出一些預防方法:

l   像是http://possible.lv/tools/hb/或是https://filippo.io/Heartbleed/,可以幫你過濾常用的網站,只要將網址丟進去就行。

l   若使用的網站有遭遇風險,記得要更換帳號密碼

l   並注意自己的帳號是否有異常活動,

l   這段時間時間內若網站有通知要更換密碼,也要注意是否為釣魚信件

這次的網路資安問題,暴露了網路的共通危機,那就是各家網站竟如此集中地依賴同一款技術來保護資訊安全,那當漏洞產生時,便會令所有網站一起受到威脅,更威脅無數用戶。當然,沒有絕對安全的機制,資安問題不容忽視,企業若要做完整的資安規畫,可聯繫像是DEVCORE這樣的專業公司,尋求咨商或方案。

關於作者


Duke

陳柏全,娛樂重擊主編。http://punchline.asia/

留言討論


網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策