OpenSSL 漏洞席捲全世界,企業與個人該如何應對?
這不是你最近第一次聽到「Heartbleed」,但你可能忽略了其嚴重性。最近在函式庫(Library)OpenSSL中被找到一個漏洞,透過這個漏洞駭客可以藉由電腦伺服器的工作記憶體,非法取得密碼以及其他資訊,由於全球有一半以上的網站都使用OpenSSL,因此這股心臟出血風潮正席捲全世界,連許多大型的網路服務公司,像是Google、Yahoo、Facebook等都無法避免。
從4月8號Google以及網路安全公司Codenomicon發現這個漏洞以來,各家網站開始做出許多防護措施,台灣網路資安公司DEVCORE的創辦人Allen Own給了網站管理者幾點建議:
l 可以透過https://filippo.io/Heartbleed/來檢驗網站
l 利用http://s3.jspenguin.org/ssltest.py、http://pastebin.com/WmxzjkXJ等工具來看網站記憶體資料是否已經跑出
l 更新OpenSSL
l 更換SSL憑證
l 更換全站密碼(因為可能外洩)
Allen Own指出:「目前能完整做到這三點更換的網站還不多,還有許多公司連憑證都沒有換,一旦這些都外洩的話,根本沒有任何安全可言」。不過這次也不是100%都陣亡,因為「微軟的方案這次都沒事」。
針對個人用戶,Allen 也提出一些預防方法:
l 像是http://possible.lv/tools/hb/或是https://filippo.io/Heartbleed/,可以幫你過濾常用的網站,只要將網址丟進去就行。
l 若使用的網站有遭遇風險,記得要更換帳號密碼
l 並注意自己的帳號是否有異常活動,
l 這段時間時間內若網站有通知要更換密碼,也要注意是否為釣魚信件
這次的網路資安問題,暴露了網路的共通危機,那就是各家網站竟如此集中地依賴同一款技術來保護資訊安全,那當漏洞產生時,便會令所有網站一起受到威脅,更威脅無數用戶。當然,沒有絕對安全的機制,資安問題不容忽視,企業若要做完整的資安規畫,可聯繫像是DEVCORE這樣的專業公司,尋求咨商或方案。
留言討論