0
| 本文作者:墨痕 | 2014-12-31 10:52 |
处理新发现的软件漏洞,一直是网上日常生活的一部分,但很少有年份像2014年一样发现如此多影响数百万设备安全性的漏洞。
2014年出现的几个撼动互联网的漏洞,都不是在新软件中发现的。相反,它们隐藏在几年甚至几十年前的代码中,大家普遍认为这些代码经过了严格的审查,但谁能想到呢。
普遍的观点认为,如果某一个软件被有巨额安全预算的公司广泛应用,那它肯定被检查了数百万次。每个人都在靠别人来做测试。这也激发了更多的黑客在长期使用的代码中寻找漏洞,这样的结果令人不寒而栗。
雷锋网带大家细数下2014年影响最大的漏洞。
Heartbleed又名“心脏出血”,从名字上就能看出它有多危险。
今年4月,Heartbleed首次被曝光,它允许黑客攻击任何采用OpenSSL的服务器,它不仅可以破解加密数据,还可从内存里读取随机数据,影响了全网约三分之二的服务器。
它允许黑客直接窃取用户密码,私人秘钥以及其他一些敏感数据。即使修复了Heartbleed,用户也需要大规模修改密码。
直到现在,很多服务器仍然没有修复,据统计,仍有30万网络设备仍没有安装补丁,其中包括一些网络摄像头、打印机、存储服务器、路由器和防火墙等。
OpenSSL的漏洞使得Heartbleed存在了2年多之久,但是存在于Unix“bash”功能中的漏洞,或许可以赢得最古老漏洞奖。它诞生至今已有25周年,没有在公开场合被发现过。任何包括了shell工具的Linux或Mac服务器都可能受影响。
今年9在漏洞被发现的一段时间内,就有上千台电脑感染了恶意软件,被用于僵尸网络攻击。。而且,初步补丁很快就被发现存在自身漏洞。第一个找到这一安全漏洞安全研究员Robert David Graham称,它比Heartbleed还严重。
在Heartbleed攻击了世界各地的加密服务器6个月后,一组谷歌研究人员发现了另一个加密漏洞,可攻击连接到服务器另一端的设备:电脑和电话。
这个存在于SSL 3.0中的漏洞允许黑客攻击用户电话,拦截用户电脑和在线服务之间加密的所有数据,不同于Heartbleed,黑客若想要利用POODLE漏洞,就必须和被入侵者在同一个网络。该漏洞主要是威胁开放WiFi网络。
Heartbleed和Shellshock影响如此之深,以至于我们都忘了2014年的第一个重大漏洞,不过它仅能影响苹果用户。
2月时苹果透露,苹果用户自己的加密网络流量容易受到同在本地网络内的其他人的拦截。该漏洞被称为Gotofail,是由在OSX和iOS上,实现SSL和TLS数据加密的代码的“goto”命令错置造成的。
让问题加剧的是,苹果为iOS发布了补丁,但没管OS X!这就等于公布了一个漏洞,但不做任何安全措施!也难怪不少用户都会骂娘了。
在2014年发现的最阴险的漏洞与软件代码中的漏洞没关系,这让它几乎无法修补。它就是BadUSB,初次亮相于8月份的黑帽大会上,让USB安全陷入信任危机。
由于内存芯片可被重写,黑客可用恶意软件感染USB控制器芯片,这让它无法像平常一样被扫描出来。例如,拇指驱动器可能包含无法察觉的恶意软件,偷偷窃取用户指令。
只有大约一半的USB芯片是可重写的,会受到BadUSB攻击。但由于USB制造商经常心血来潮更换供应商,几乎不可能知道哪些设备容易受到BadUSB攻击。唯一的应对方法就是,把USB设备当“注射器”一样使用,永远不共享或者绝不插入到一个不可信的设备上。
在漏洞公布后不久,一组研究人员公布了逆向工程版本的攻击代码,想以此向芯片制造商施压,解决问题。虽然很难说是否有人会利用这些代码,但这意味着数以百万计的USB设备将陷入相当不值得信任的状态。
via wired
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
