网佳创业天使社区

天使投资唐 发表于 2014-4-16 05:17:02 | 显示全部楼层 |阅读模式
各大网站和用户广泛使用的网络加密技术OpenSSL,因为Heartbleed漏洞或令数十万服务器泄密。现在大家的聚焦都在HTTPS网站(443端口),而大多网站这几天已经修补,但实际上还有更多敏感服务受影响,而Cisco和Juniper的路由器的漏洞可能要很久才可以完全升级!各位要小心和经常更改网银和支付宝等密码,特别在公开的WIFI,钱被黑后就后悔莫及了!

OpenSSL.org是一个开源的加密技术,大部分的11名成员组成的团队都是志愿者,只有一个全职工作,他们全年的预算是不到100万美元。OpenSSL的软件基金会靠捐款(大多数5美元和10美元捐款)和咨为生,但OpenSSL的需要更多的人力来审核代码!开源=免费=好?靠捐款的商业模式靠谱?

1. HTTPS服务(443端口)
  • 全国443端口:1601250,有33303个受本次OpenSSL漏洞影响!注意这只是443端口。
  • 全球443端口,至少受影响有71万量级(实际应该大于这个,待修正)。
2. 邮件服务
  • 最新全球受影响服务及主机 SMTP Over SSL:147292台;POP3 over SSL:329747台;IMAP over SSL:353310台。

Heartbleed 漏洞或令数十万服务器泄密
2014-04-09         Reuters
路透波士顿48 -一种被各大网站广泛使用的网络加密技术OpenSSL刚刚被发现存在一个漏洞,这或许会给黑客以可乘之机。专家称,这是近几年发现的最为严重的安全漏洞之一。
谷歌和一家小型安全公司Codenomicon的研究人员发现了这个名为“Heartbleed”的漏洞。该漏洞的发现也促使美国国土安全部周二建议企业重新检查其服务器,查看其是否运行易受攻击的OpenSSL软件版本。
据悉,解决OpenSSL漏洞的补丁程序已发布。该漏洞可使远程黑客获取包括密码、密钥等敏感数据。
Codenomiconheartbleed.com网站上表示:“我们已经从攻击者的角度测试了我们的部分服务。我们从外部攻击自己,没有留下任何痕迹。”
计算机安全专家警告称,这意味着受害者无法判断他们的数据是否被侵入,而这一漏洞存在已有大约两年时间。
Shape Security产品安全主管Michael Coates表示:“如果一个网站被攻击,我可以看到密码、银行信息和医疗数据等这些你以为被安全发送到网站的数据。”
软件安全公司Veracode研究部门副总裁ChrisEng表示,全球有几十万个网站和邮件服务器需要尽快修补,以保护自己免遭黑客攻击。既然漏洞已不再是秘密,这些黑客现在将加速利用这些漏洞。
技术网站ArsTechnica报道称,安全研究人员MarkLoman能够用某个免费工具从雅虎电邮服务器中获取数据。
雅虎发言人(YHOO.O:行情)也证实,雅虎电邮易受攻击,但称已经对其他主要的雅虎网站一道进行了修补。


OpenSSL Heartbleed 漏洞的影响到底有多大?
http://www.zhihu.com/question/23328658
今天在HackersNews 上看到了这个新闻,票数和讨论都非常多,看起来相当严重:HeartbleedBug
另外有一个测试网站是否受到影响的服务:Testyour server for Heartbleed (CVE-2014-0160) (现在长期503
根据页面上的介绍,这个OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括SSL 证书私钥!漏洞2011年底出现,昨天(201447日)才刚刚被修复。想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多大?如果是,那么这个曾经的0day 是否被广泛利用?

@知道创宇安全研究团队 实测可以Dump出淘宝、微信、陌陌、某些支付类接口、某些比特币平台、12306等各大使用OpenSSL服务的一些内存信息,里面有用户等的敏感内容(有些重要网站含明文密码)。
OpenSSL这次被比做「心脏出血」。可见影响。一个安全套件不安全了……
下图的科普可以让大众明白这个OpenSSL漏洞是怎么回事:

权威统计
而且还不知是否有更进一步影响(小道八卦影响比想象的严重)。来自Heartbleed的官方说明(大概翻译下):
OpenSSLWeb容器如Apache/Nginx中使用,这两的全球份额超过66%。还在邮件服务如SMTP/POP/IMAP协议中使用,聊天服务如XMPP协议,VPN服务等多种网络服务中广泛使用。幸运的是,这些服务很多比较古老,没更新到新的OpenSSL,所以不受影响,不过还是有很多用的是新的OpenSSL,都受影响!
特别说明下:现在大家的聚焦都在HTTPS网站(443端口),实际上还有更多敏感服务受影响,我们的研究也是在不断持续推进!不可草率判断!!
1. HTTPS服务(443端口)
来自@ZoomEye的统计(4.8号):
全国443端口:1601250,有33303个受本次OpenSSL漏洞影响!注意这只是443端口。
全球443端口,至少受影响有71万量级(实际应该大于这个,待修正)。
ZoomEye OpenSSL漏洞国内的趋势监控(随时更新,仅是443端口):
第一天:33303台服务器(说明:国内是4.8号爆发的,当天的影响服务器情况!)
第二天:22611台服务器(说明:辛苦一线白帽子与运维人员等的辛苦熬夜,减了1/3!而且都是知名业务,如百度、360、微信、陌陌、淘宝等,这点非常赞!)
第三天:17850台服务器(说明:又减少了近500台服务器,我估计剩下的都不那么大,不过不排除有很重要的!)
第四天:15661台服务器(说明:相比第一天减少了1/2!不过减少趋势慢了……)
第五天:14401台服务器(说明:减少趋势持续缓慢……)
老外有个基于全球TOP1000的粗暴根域OpenSSL探测列表,仅供参考:
heartbleed-masstest/top1000.txt at master musalbas/heartbleed-masstestGitHub
说这个粗暴是因为:仅对「根域」。
2. 邮件服务
来自@ZoomEye的统计(4.11号):
最新全球受影响服务及主机SMTP Over SSL147292台;POP3over SSL329747台;IMAPover SSL353310台。
实测可以获取某些邮件服务的敏感数据。
3. 可视化
大家可以关注ZoomEye专门针对OpenSSL漏洞制作的全球监控页面(在Chrome或基于Webkit内核的浏览器下,效果最佳,目前仅是443端口):
OpenSSL Heartbleed Worldwide Vulnerable Distribution
我们未来会持续完善这个页面,给大家一个专业、公正的评判结果,辛苦ZoomEye团队的几个小伙伴辛苦突击!截图两张:


这个漏洞的全球趋势图,会在一周后数据量足够的情况下给出。
疯掉
今晚(4.8号)不知道有多少团队要熬夜:
甲方,加急升级OpenSSL(如果升级真的可以的话,目前来看是可以);
乙方,像我们这样的安全公司,在给我们全线产品+客户提供安全应急,并给社会输出有价值的参考信息;
地下黑客,刷库,各种刷!!!
每次这种大事,乌云都是被各路白帽子刷分的:
我们已经联合国家有关单位进行应急响应,我相信这次风波会很快平息。
用户防御建议
对于普通用户来说只要发现浏览器地址栏的网址是https开头的都应该警惕,因为这次OpenSSL漏洞影响的正是https网站,本来是安全传输的却也不安全了。可惜的是普通用户来说,有时候很难发现所使用的服务背后是https,比如:
有的仅在登录过程会https,之后都是http,典型的如百度的登录;
如果是手机上的APP等,普通用户就更不知道背后是不是https链接;




互联网公司紧急应对Heartbleed漏洞
2014040914:08            cn.wsj.com
从亚马逊(Amazon.comInc.)到雅虎(YahooInc.)的互联网公司周二紧急应对最新发现的互联网漏洞Heartbleed。安全专家们说,成百上千万的网络服务器都可能受到这一漏洞的影响,而一些报告显示,这一漏洞已经存在了大约两年。
HeartbleedOpenSSL中的一个漏洞,后者是旨在保证互联网通讯安全的一种加密协议。周一被曝光的漏洞影响了互联网的许多方面,因为OpenSSLApacheWeb服务器的默认安全通讯选项。OpenSSL在虚拟专用网络(VPN)技术中也被普遍使用,后者是一种能让企业员工远程连上公司网进行工作的技术。目前还不清楚网络攻击者能否利用Heartbleed漏洞来进入企业内网或盗取数据。
Amazon Web Services、雅虎、TumblrGitHubBitSight Technologies和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最近发布的补丁。美国联邦调查局(FederalBureau of Investigation, 简称FBI)称其采用了内容分发网络服务,并表示其伙伴已经给产品打上了补丁。FBI发言人对《华尔街日报》旗下CIOJournal表示,该局的内部服务器并不容易受Heartbleed漏洞影响。
Amazon Web Services发布了安全公告,详细说明了为应对Heartbleed而更新了哪些服务。亚马逊的ElasticLoad Balancing是已更新的服务之一。
其他公司没有提供太多应对Heartbleed的措施细节,但这显然已在他们的工作日程上。雅虎的发言人说,该公司团队已对雅虎的主要属性成功进行了适当的修正。该发言人还说:目前他们打算在该公司其余站点也进行这样的修正。微软(MicrosoftCorp)的发言人说:微软正密切关注有关OpenSSL安全漏洞的报道,如果他们认定此事给设备和服务带来了影响,他们将采取必要措施保护客户。谷歌(GoogleInc.)的发言人说,该公司已对SSL的弱点进行了评估,并对关键服务发布了补丁程序。
安全技术公司VenafiInc.首席执行长赫德森(JeffHudson)说,超过40%的互联网服务器都是Apache,而且其中大多数使用OpenSSL。其他研究者表示,这一安全漏洞只会对过去几年发布的OpenSSL版本产生影响。
安全专家们称,该漏洞实际上让黑客能够获得服务器的密钥,而该密钥用于加密通过互联网传递的信息。BitSightTechnologies联合创始人兼首席技术长波伊尔(StephenBoyer)表示,黑客也可能会潜入服务器内存,一次盗走64千字节的数据包;BitSight是一家评估公司网络安全性的公司。他说,可怕之处在于,他们可以解密这些信息,他补充说,人们正在匆忙升级。           
不过安全问题研究人员认为,仅仅对OpenSSL软件打补丁并不能奏效。Venafi公司的赫德森说,人们尚未认识到,除非更改所有密钥和证书,否则仍然很容易受到攻击。他表示,一家大型跨国公司或许需要更改数以万计的证书(即电子信息上的附件,用于安全目的)和密钥。这种加密机制可以验证发出信息的用户身份,并给接收方提供加密应答的方式。
LastPass首席执行长西格里斯特(JoeSiegrist)CIOJournal表示,他的公司重启了服务器,升级了OpenSSL软件,并推出了新的证书。他说,有关该漏洞的可怕之处是,尚不清楚各家公司有哪些信息或已被窃,也不知道该漏洞被发现之前被利用了多长时间。
他表示,所有事情都可能发生,实际发生了多少还远不太清楚。他说,由于该漏洞已经存在了很长时间,如果坏人知道并加以利用了几年时间,事情将真的非常糟糕;如果在该漏洞被发现之前没有多少人知道,则普通用户不会有太大风险。他说,这是一个很难回答的重要问题。


Heartbleed漏洞提前曝光 各大网站措手不及
2014 04 10 11:05    cn.wsj.com Reuters                                                                                          
          AirbnbNetflix的网站曾一度面临风险,但两家公司随后都对软件进行了升级。
各大热门网站和上百万互联网用户周三纷纷升级软件和更改密码,此前OpenSSL加密代码存在安全漏洞的消息比研究人员的原定计划提前披露。
受这个被称为“Heartbleed”的安全漏洞影响,FacebookInc.和雅虎公司(YahooInc.)的博客网站Tumblr建议用户更改密码。加拿大税务局采取了关闭报税网站的防范措施,目前距离申报截止日430日还剩数周时间。
Sonatype Inc.的首席执行长杰克逊(Wayne Jackson)表示,AirbnbInc.、四季酒店(FourSeasons)NetflixInc.的网站一度面临风险。Sonatype管理开源软件。AirbnbNetflix说,它们已升级软件。四季酒店没有立即回复记者的置评请求。
旧金山网络安全公司CloudFlareInc.的首席执行长普林斯(MatthewPrince)表示,这无疑是互联网普及以来最严重的一个安全漏洞。他说,情况将会非常糟糕。
这个互联网漏洞本来是要悄无声息地进行修补的。OpenSSL的一名管理员考克斯(MarkCox)说,发现这一漏洞的谷歌研究人员上周把相关漏洞告诉给了密钥管理方OpenSSLProject
随后OpenSSL计划在周三公布这一漏洞,并在此之前告诉受信任网站运营方如何解决这个漏洞。知情人士说,一些大型网站,包括FacebookAkamaiTechnologies Inc.,的确事先得到了通知。
但管理员们担心,这一安全漏洞的新闻已经泄露给了黑客,因此他们周一就进行了披露。这让亚马逊(Amazon.comInc.)和雅虎等公司措手不及。
雅虎的一名发言人说,该公司已经做出了适当的修补。亚马逊网络服务系统(AmazonWeb Services)贴出来一个安全公告,详细说明了那些服务已经升级。
Heartbleed漏洞之所以会造成问题,原因是在周一披露的时候它影响了大约三分之二的服务器。需要用户登录的网站越来越多地利用加密的办法确保用户的个人信息不会在互联网流转的过程中被泄露。
大多数网站,包括公司、银行和联邦政府的网站,用的都是OpenSSL免费安全协议。OpenSSL是网站使用的密码算法库,由考克斯和另外三名欧洲开发人员管理。
这一漏洞影响到了过去两年间发布的OpenSSL版本。在易受攻击的系统中,黑客有可能从网站服务器在加密数据被删除前获取该数据。
研究人员说,网站不可能检测出黑客是否利用这一漏洞窃取数据。这就意味着,企业无法向那些数据可能已被盗的客户发出通知。
CloudFlare公司的普林斯表示,该公司的系统也一度面临易受攻击的风险。该公司是上周接到漏洞通知的,在签订保密协议后已采取了推荐的修补措施。
据知情人士透露,FacebookAkamai的安全团队也收到了类似的警报。Akamai为互联网上的视频传输提供帮助。
Facebook发言人称,该公司在安全漏洞消息公布之前就为FacebookOpenSSL添加了保护措施。这位发言人未作详谈。Akamai一名发言人说,OpenSSL团队提前联络过该公司。
谷歌也提前修补了自己的系统。这家网络搜索巨头周三对用户表示,他们不需要更改谷歌密码。
加拿大税务局(CanadaRevenue Agency)称,在周二晚间获知有关Heartbleed漏洞的消息之后,该局决定暂时关闭其网站中个人和企业递交电子税单的部分。
加拿大税务局在周三的更新声明中表示,该局正在采取修补措施,以恢复网上报税服务,预计该服务将在本周末重启。


该怎样应对网络最大安全漏洞
2014 04 10 12:00  cn.wsj.com
你一直打算更新你的密码吗?今天就是行动起来的时候了。
周一,安全研究人员发现了一个问题,这个问题十分严重,以至于他们把这个问题称作Heartbleed(心脏流血)。这是大约三分之二互联网服务器所使用的一种加密工具中存在的一个漏洞,你的登录名和密码可能因此被泄露。
在修改你的密码前,先检查你使用网站的安全性
还不清楚具体有哪些服务受到影响,以及哪些密码可能受牵连。但是,如果你有雅虎(Yahoo)OKCupidGithub的账户,你应当尽快修改你的密码。这三个受欢迎的网站已确认曾受到上述问题影响,并已经修补了漏洞。
其他大型网络公司正在采取措施修复这个问题。你可以通过下面这个链接https://www.ssllabs.com/ssltest来检查某个服务是否已经更新了安全性能。键入这个服务的域名即可。
如果所有结果都是绿色的,这个问题可能已经被修复,你可以修改你的密码。如果这个网站显示结果不是绿色的,那先不要修改密码。在容易受到影响的网站上修改密码,要么没有效果,要么有可能让新密码被泄露。
即便没有Heartbleed问题,密码也从没有像现在这样脆弱。对于重要账户,你应该每90天修改密码。
以下是你还需要知道的其他事情:
打开双重认证功能
现在除了使用全新的密码以外,再采用额外的防御措施也具有重要意义,越来越多的网站正在使用这种被称为“双重认证”的措施。(这种措施也被称为“二重认证”、“登录验证”或是不同公司所采用的不同名称,比如美国银行的“SafePass”。)
许多邮件服务、银行和社交网络也开始采取这种措施,在每一次你(或是其他人)试图登录你的帐户时,这些服务会向你发送一次性的代码(通常利用短信发送)。你需要输入这个代码来进入你的帐户。
使用至少五个不同的密码
你可能犯的最大错误就是给所有网站设置同样的密码。如果你在一个网站的密码被盗用,有人就会利用这个密码登录你的其他帐户。
不过你不用努力记住每个网站独有的密码,你可以按组别来记住它们。首先将所有网站分为五个关键类别,即银行、邮件、社交网络、购物以及你使用频率非常高的网站。在这几个类别中,你可以将明确代表这个网站的一、两个字母添加在密码的最后,例如AZ可以代表Amazon.com,这样可以使得每个网站的密码更加特别。
一旦出现帐户被入侵的情况,比方说你的购物网站密码被入侵,那么你就应该立刻改变购物网站这个类别下的所有密码,不过这种策略可能为你赢得了一些时间。
选择保密程度高的密码
什么才算得上是保密程度高?密码越长,保密程度越好。你的密码至少应该由6-8个字符组成,其中包括数字和字母。如果你的密码已经被列入了黑客攻击过的密码名单,那么你就需要重新进行设置。
把宠物和家人的名字用作密码也不是个好办法,因为罪犯有可能拥有你的个人信息。他们甚至可能浏览过你在Facebook上发的帖子。
糟糕的是,网站和应用都有各自不同的标准,在设定密码所允许使用的数字和字符方面也有不同规定。例如,一些网站和应用不接受大写字母,但其他一些则接受。
我的一个朋友近期进行了一项修改自己所有129个帐户密码的“大工程”,但当他发现一个网站不接受符号&,而另一个网站不接受符号$时,感觉有些抓狂。
为电子邮件帐户设定安全性高的密码尤其重要,因为黑客一旦侵入你电子邮箱,就可以藉此在其他网站选择“忘记秘密”并进行重新设定。
一些人还特意为密码相关安全提问(例如你第一辆车是什么型号的?你第一只宠物叫什么?)设定了错误的答案,这样即使黑客取得了你的信息,也无法猜出问题的正确答案。
记密码有方法
把密码写在纸上并放在钱包中随身携带存在丢失的风险。不过,选择安全性高的密码,然后记下来并放到一个安全的地方,好过选择能够记牢但容易破解的密码。
有一些好方法能帮助记住较长的密码。
最基本的就是使用记忆术。例如,根据你能够记住的一句短语或随机排列的词语设定密码。或者把一句短语的首字母组合作为密码。比如,根据ILeft My Heart In San Francisco这句短语设定密码ILMHISF
不要只使用生活中现成的短语和词语,可以进行一些修改,这样就不太可能被猜出。
最后,一些人会花钱使用LastPassPasswordBox1Password等密码管理服务或应用,这些服务能记录密码并会提供一些安全性高的密码。
不过,安全专家提醒称,一旦上述服务出问题,你的所有密码可能都面临威胁,尤其是如果你的密码被这些服务远程存储的话。当然,使用这些服务仍强过只设定1234password这样简单的密码。


Heartbleed漏洞曝光后使用互联网的五个规则
2014041015:28    (本文译自MarketWatch
你看到过那个在网络连接(URL)旁边弹出来的锁定图标吧?这个图标告诉你正在访问的网站能够确保访问者个人信息的安全,但结果却发现两年多来你的专用数据实际上一直处于毫无保护的状态。
你所访问的网站将你的信息进行加密,例如电子邮件、密码以及信用卡号等,因此如果有人想盗取你的信息,他们得到的只是一串乱七八糟的代码,你自己的数据仍保存在你和收件人之间。至少原本人们认为情况应该是这样的。研究人员本周发现,OpenSSL存在一个漏洞,而大约有三分之二的网站使用OpenSSL加密工具。他们把这个漏洞称为Heartbleed(心脏流血)。
专家们称,Heartbleed漏洞造成的网络攻击是无法追溯的。网络安全公司AlienVaultLabs的董事布拉斯科(JaimeBlasco)说,就算人们开始对最近时不时爆出的数据泄露事件开始感到麻木,但如此巨大的安全漏洞带来的影响也是非常大的。
Heartbleed漏洞曝光后,在使用互联网时应当遵循以下五个规则。
1. 不要相信任何人
使用Heartbleed漏洞测试这样的工具运行你注册了帐户的网站,查看是否存在安全隐患,或者查看在登录前安全漏洞是否已被弥补。位于米兰的自由职业开发人员瓦尔索达(FilippoValsorda)说,网页每分钟要进行大约4,000次搜索。发现某个网站还没有解决安全漏洞问题时,下载Chrome浏览器的扩展工具Chromebleed来接收通知。网络安全公司Fox-IT营销经理比哲(JoostBijl)说,在电脑安全方面,你永远都无法得知哪里会存在安全隐患。
2. 更改密码,使用两步验证
“更改密码”是消费者多年来总能听到的一句话。这听起来很简单,但专家们说,受过去两年Heartbleed漏洞的影响,一些用户的通信记录可能会遭到拦截,为了避免发生这样的情况,更改密码仍然是用户首先要做的。考虑到OpenSSL(和漏洞相关的一种技术)的主导地位,最安全的做法就是更改所有的密码。包括谷歌(Google)Facebook、推特(Twitter)和贝宝(PayPal)在内的许多公司都提供两步验证功能,要求用户在一台新电脑上登录时回答一个安全问题或者通过短信发送密码。比哲说,这样一来,就算有人解除了你的密码,他们也无法登录你的帐户。
3. 当心公共场所的无线网络
关掉会将你的智能手机与公共无线网络连接在一起的设置,因为这个设置可能会被恶意的黑客利用。机场和酒店的无线网络都很方便,但是专家们说这些不受保护的网络连接会让你容易受到攻击。当你在使用公共场所的无线网络时,设置一个虚拟专用网络来保护你的网上活动。一些免费的VPN服务可以实现这种要求,不过大多数这种服务都需要按月收费。
4. 监控近期的帐户活动
包括谷歌(Google)在内的一些公司可以提供邮箱活动报告,报告可显示帐户在何时、何地被打开。以Gmail为例,点击收件箱右下角的“细节”(detail),便可看到包括登录时间、地点和IP地址在内的完整报告。如果登录时间与你的使用时间不匹配,那么就请更改你的密码吧。(记住第二条规则,使用双重认证措施。)
5. 安装所有令人讨厌的安全升级,并且阅读警示信息
每个人都做过这件事:没有及时处理安装安全更新并重启电脑的提示,或是忽视进入某一网页时的警示信息。这些更新可以保护你的电脑免受恶意软件或其他的威胁,并修复你一开始下载软件时没有发现的安全漏洞。另外,当安全提醒出现在一个熟悉的网页上时,用户有时会忽视提醒,并继续停留在该网页上,但有可能被所谓的“中间人”攻击。黑客会用这种攻击手段窃取通讯信息。布拉斯科说,用户常常并不在意这些提醒,也不会去阅读这些提醒。布拉斯科说,请阅读这些提醒,在真正犯下错误和数据被盗用之前搞懂你要做什么。


Heartbleed Bug's 'Voluntary' Origins
Internet Security Relies on a Small Team of Coders, Most of Them Volunteers; Flaw Was a Fluke
April 11, 2014 wsj.com
The encryption flaw that punctured the heart of the Internet this week underscores a weakness in Internet security: A good chunk of it is managed by four European coders and a former military consultant in Maryland.
Most of the 11-member team are volunteers; only one works full time. Their budget is less than $1 million a year. The Heartbleed bug, revealed Monday, was the product of a fluke introduced by a young German researcher.
"It's sort of shocking how few people are at the heart of it," said Kenneth White, an encryption expert at Social & Scientific Systems Inc. in North Carolina. "This is some of the most complex communication code that exists on the Internet."
The OpenSSL Project was founded in 1998 to create a free set of encryption tools that has since been adopted by two-thirds of Web servers. Websites, network-equipment companies and governments use OpenSSL tools to protect personal and other sensitive information online.
So when researchers at Google Inc. GOOG -1.91%  and Codenomicon on Monday stated that Heartbleed could allow hackers to steal such data, the Internet went into a panic.
The frenzy intensified Friday after Bloomberg News reported that the National Security Agency knew about the hole for two years but kept it secret to gather intelligence on foreign targets. The NSA, White House and Office of the Director of National Intelligence denied the report. "Reports that NSA or any other part of the government were aware of the so-called Heartbleed vulnerability before April 2014 are wrong," White House National Security Council spokeswoman Caitlin Hayden said.
Earlier in the day, a German volunteer coder admitted that he had unintentionally introduced the bug on New Year's Eve 2011 while working on bug fixes for OpenSSL. Robin Seggelmann, a 31-year-old who now works for T-Systems, a unit of Deutsche Telekom AG DTE.XE -0.49%  , said in a blog entry posted by the company that the error had been overlooked by multiple coders working on OpenSSL.
Errors in complex code are inevitable— Microsoft Corp. MSFT -0.38%  , Apple Inc. AAPL -0.74%  and Google announce flaws monthly. But people close to OpenSSL, which relies in part on donations, say a lack of funding and manpower exacerbated the problem and allowed it to go unnoticed for two years.
Heartbleed also raises questions about whether so much of the Internet should rely on a single technology to keep secrets. "Anytime you have a monoculture, one bug is going to make everyone insecure," said Matthew Green, an encryption expert at Johns Hopkins University.
The OpenSSL Project counts a sole full-time developer: Stephen Henson, a 46-year-old British cryptographer with a Ph.D. in mathematics. Two other U.K. residents and a developer in Germany fill out the project's management team.
Associates describe Mr. Henson as brilliant but standoffish and overloaded with work. On his website, he lists encryption questions that are "welcome and not welcome" and compares his responsibilities to those of Bill Gates when he managed Microsoft. "Yes, oddly enough some people have actually met me," Mr. Henson writes.
Of companies asking for free advice on using OpenSSL, he asks, "Well, how would your company respond if I contacted them and demanded large amounts of free consultancy?"
Here's how the OpenSSL Project works: The team is constantly refining a type of encryption called secure sockets layer (SSL) or transport layer security (TLS), which guards against hackers reading data that users send to websites. The basis for the now widely used software was developed in the 1990s by Eric Young, now an engineer in Australia for RSA, EMC Corp.'s EMC -1.30%  security unit.
All members of the OpenSSL team are outside the U.S., to avoid arms export laws that apply to advanced encryption.
Geoffrey Thorpe, an OpenSSL volunteer on the development team, said he has little time to spend on the project because of his day job at a hardware technology company.
"You might say that it's like sewage processing in a way, messy, complicated and usually taken for granted right up until it goes wrong," said Mr. Thorpe, who lives in Quebec City.
Last decade, Steve Marquess, a former U.S. Defense Department consultant living in Maryland, started the OpenSSL Software Foundation to secure donations and consulting contracts for the group.
Mr. Marquess has helped garner sponsorships from the U.S. Department of Homeland Security and the Defense Department. He couldn't confirm the veracity of Friday's Bloomberg story.
The foundation has seen a slight uptick in donations since Heartbleed was disclosed, though most still come in $5 and $10 increments. More than anything, OpenSSL needs more manpower to audit code.
Qualys Inc., QLYS +2.35%  a California cybersecurity company, said it donated a small amount to the OpenSSL Software Foundation to work on security code. A company spokesman wouldn't disclose the amount, but said the fact OpenSSL lists Qualys as a "major contributor" indicates it is "woefully underfunded."

Corrections & Amplifications
The basis for the OpenSSL software was developed in the 1990s by Eric Young. An earlier version of this article incorrectly said Mr. Young invented the type of encryption.


Heartbleed could harm a variety of systems
Associated Press  April 11, 2014
NEW YORK (AP) — It now appears that the "Heartbleed" security problem affects not just websites, but also the networking equipment that connects homes and businesses to the Internet.
A defect in the security technology used by many websites and equipment makers have put millions of passwords, credit card numbers and other personal information at risk. The extent of the damage caused by Heartbleed isn't known. The threat went undetected for more than two years, and it's difficult to tell if any attacks resulted from it because they don't leave behind distinct footprints.
But now that the threat is public, there's a good chance hackers will try to exploit it before fixes are in place, says Mike Weber, vice president of the information-technology audit and compliance firm Coalfire.
Two of the biggest makers of networking equipment, Cisco and Juniper, have acknowledged that some of their products contain the bug, but experts warn that the problem may extend to other companies as well as a range of Internet-connected devices such as Blu-ray players.
"I think this is very concerning for many people," says Darren Hayes, professor of security and computer forensics at Pace University. "It's going to keep security professionals very busy over the coming weeks and months. Customers need to make sure they're getting the answers they need."
Here's a look at what consumers and businesses should know about Heartbleed and its effects on networking devices.
— How is networking equipment affected?
Just like websites, the software used to run some networking equipment — such as routers, switches and firewalls — also uses the variant of SSL/TLS known as OpenSSL. OpenSSL is the set of tools that has the Heartbleed vulnerability.
As with a website, hackers could potentially use the bug as a way to breach a system and gather and steal passwords and other sensitive information.
— What can you do?
Security experts continue to advise people and businesses to change their passwords, but that won't be enough unless the company that created the software in question has put the needed fixes in place.
When it comes to devices, this could take a while. Although websites can be fixed relatively quickly by installing a software update, device makers will have to check each product to see if it needs to be fixed.
Both Cisco Systems Inc. and Juniper Networks Inc. continue to advise customers through their websites on which product is still vulnerable, fixed and unaffected. Owners may need to install software updates for products that are "fixed."
Hayes praises Cisco and Juniper for being upfront with customers. He cautions, though, that many other companies make similar products that likely have the bug, too, but haven't come forward to say so.
As a result, businesses and consumers need to check the websites for devices that they think could have problems. They must be diligent about installing any software updates they receive.
Weber says that while there are some checks companies can do to see if their networking equipment is safe, they're largely beholden to the device makers to let them know what's going on.
Companies also need to make sure that business partners with access to their systems aren't compromised as well.
— Are other devices at risk?
Hayes says the bug could potentially affect any home device that's connected to the Internet, including something as simple as a Wi-Fi-enabled Blu-ray player.
He also points to recent advances in home automation, such as smart thermostats, security and lighting systems.
"We simply don't know the extent of this and it could affect those kinds of devices in the home," he says.


邀请大家加入Webplus.com免费会员,参与【论坛】里的创业投融资等讨论,在『失败经验分享』分享失败案例,在『创新,IDEA,点子』分享好的idea或创意、在『创业者寻找投资者』里展示你的项目《天使投资》英文版第一卷#Angel Investment#Vol 1电子书Beta版 刚在亚马逊Kindle发布 http://smarturl.it/Angv1
粉丝特价0.99美元,书价格很快会涨>10美元。书不完美,请去en.Webplus.com给我意见或反馈!多谢捧场,将中国创业+天使的本色发扬光大去美国!
3月1在UC Berkeley 加州大学伯克利分校商学院MBA的亚洲商业年会的Finance Panel 演讲。BerkeleyABC.org。这是个很好在美国发布《Angel Investment》新书的活动。我演讲的视频:http://bbs.webplus.com/forum.php?mod=viewthread&tid=5853

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

 楼主| 天使投资唐 发表于 2014-4-16 05:18:37 | 显示全部楼层
警惕!骗子在商场快餐店建免费WIFI 盗网银!
重庆的小郜旅游时,发现饭店里有免费WIFI,没多想就连了一个,没想到400元话费10分钟内不翼而飞!江苏的张明使用一公共WIFI后,网银被盗6万多元! 提醒:有黑客专建免费WIFI等你上钩!外出切勿乱用免费WIFI,扩散周知!
http://bbs.webplus.com/forum.php?mod=viewthread&tid=6870
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|Archiver|手机版|网佳创业天使社区 ( 12036313号-2 )

GMT+8, 2024-11-21 16:53 , Processed in 0.021577 second(s), 17 queries .

Powered by Discuz X3.4 Licensed

© 2001-2013 WEBPLUS

快速回复 返回顶部 返回列表