“心臟出血”風(fēng)波再起 如何應(yīng)對(duì)中間人攻擊
責(zé)編:admin |2014-06-12 16:50:53還記得幾周前震驚互聯(lián)網(wǎng)的OpenSSL心臟滴血漏洞么?事發(fā)期間,全球共有上百萬使用OpenSSL對(duì)網(wǎng)絡(luò)通信進(jìn)行加密的網(wǎng)站受到該漏洞的影響。無獨(dú)有偶,OpenSSL基金會(huì)最近又發(fā)布了一些更新,修復(fù)了六個(gè)OpenSSL中的安全漏洞,其中兩個(gè)為嚴(yán)重級(jí)別,而其中之一即為中間人攻擊(MITM)。
何為中間人攻擊
如今,小偷早已告別了在地鐵上偷錢包的簡單作案手段,更高級(jí)的是使用網(wǎng)絡(luò)攻擊獲取各種信息。當(dāng)你在咖啡館等公共場所利用室內(nèi)Wi-Fi檢查賬戶信息時(shí),也許黑客就攔截了你的智能終端與Wi-Fi之間的通信,窺探著你的一舉一動(dòng)。這種方法就是“中間人攻擊“,而這種攻擊則是黑客進(jìn)行網(wǎng)絡(luò)攻擊的諸多手段之一。
許多黑客都在利用網(wǎng)絡(luò)漏洞使自己清晰地看見用戶的各種數(shù)據(jù)。事實(shí)上,即使普遍受大眾信賴的公司網(wǎng)絡(luò)也會(huì)存在漏洞。2013年3月,Adobe被黑客獲取了客戶的信用卡資料,社保號(hào)碼,家庭住址,電話號(hào)碼等個(gè)人信息。最近發(fā)生的蘋果公司gotofail漏洞以及安卓VPN缺陷都在無時(shí)無刻不在提醒我們:即使是主流的操作系統(tǒng)也完全有可能把你置于陷阱之中。
“心臟出血”事件是目前討論最熱烈的OpenSSL漏洞。攻擊者可追蹤OpenSSL所分配的64KB緩存,將超出必要范圍的字節(jié)信息復(fù)制到緩存當(dāng)中再返回緩存內(nèi)容,這樣一來受害者的內(nèi)存內(nèi)容如密碼,信用卡信息和服務(wù)器的私鑰等就會(huì)以每次64KB的速度進(jìn)行泄露。“心臟出血”漏洞影響了66%的互聯(lián)網(wǎng)用戶,包括一些主流網(wǎng)站如雅虎,F(xiàn)lickr, Pinterest等。此漏洞使得MITM更加危險(xiǎn)。即使HTTPS已經(jīng)開啟,但攻擊者可用盜來的證書獲取有價(jià)值的數(shù)據(jù),使被攻擊者處于毫無防備的狀態(tài)。
如今全球手機(jī)數(shù)量即將超過地球人口數(shù)量,手機(jī)將成為下一波黑客攻擊的前沿地帶,這種公共網(wǎng)絡(luò)的轉(zhuǎn)變將導(dǎo)致中間人攻擊數(shù)量的增加。因此,很多人轉(zhuǎn)向通過安裝殺毒軟件來保護(hù)自己的移動(dòng)設(shè)備。但是殺毒軟件并不適合移動(dòng)架構(gòu),這種解決方案如果沒有root權(quán)限訪問設(shè)備的操作系統(tǒng)的話,也是不能夠監(jiān)控設(shè)備的活動(dòng)情況。而且傳統(tǒng)個(gè)人電腦的安全方法將對(duì)移動(dòng)設(shè)備產(chǎn)生不必要的影響:操作系統(tǒng)變慢,電池消耗更快,且占用更多的內(nèi)存空間等。
如何避免中間人攻擊
個(gè)人和組織都可以使用各種方法來保護(hù)自己的設(shè)備和網(wǎng)絡(luò)安全,讓人驚訝的是,許多主流網(wǎng)站最近在才開始對(duì)他們的服務(wù)進(jìn)行加密。假設(shè)網(wǎng)站的URL讀取的是“HTTP”而不是“HTTPS”,黑客就可隨時(shí)監(jiān)視賬戶信息。所以如果網(wǎng)站沒有加密,可自己動(dòng)手完成整個(gè)協(xié)議,輸入包括“HTTPS”在內(nèi)的完整網(wǎng)址。在默認(rèn)情況下,一些常用的服務(wù)不會(huì)執(zhí)行SSL,這使得黑客有機(jī)可乘,能夠完全接管這些賬戶。
另一種解決方案是,啟用虛擬專用網(wǎng)(VPN)。VPN是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸可以起到信息安全保護(hù)的作用。但鑒于VPN是通過建立“安全通道”來實(shí)現(xiàn),所以其無法保護(hù)在公共Wi-Fi下使用網(wǎng)絡(luò)的移動(dòng)設(shè)備。
為了提供敏感數(shù)據(jù)的最佳保護(hù),個(gè)人和企業(yè)需要發(fā)展一種全面的移動(dòng)安全解決方案。雖然目前傳統(tǒng)電腦的安全已得到保障,但企業(yè)同時(shí)應(yīng)為移動(dòng)設(shè)備提供終端保護(hù),防御這些設(shè)備可能遇到的各種不可控網(wǎng)絡(luò)。然而,針對(duì)移動(dòng)安全空間的保護(hù)卻異常嘈雜。很少有安全廠商能夠真正的做到保護(hù)你的銀行帳號(hào)和個(gè)人信息免受網(wǎng)絡(luò)的攻擊。除非工作場所轉(zhuǎn)變其移動(dòng)安全的保護(hù)方法,真正采取必要的措施來保護(hù)網(wǎng)絡(luò),否則保護(hù)網(wǎng)絡(luò)免于黑客攻擊的責(zé)任就落在了我們自己的身上。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧