Need help? Chat now!

Hostwinds 博客

寻找结果为:


漏洞:请进。 门是开着的。 特色图片

漏洞:请进。 门是开着的。

通过: Bryon Turcotte  /  十月 13, 2014


今天的世界充满了战斗,攻击,威胁和 漏洞。无论是翻页,更改频道还是点击鼠标,就会不断提醒您,您可能会或可能不会被您认为的大墙完全保护,您认为您的城堡会使您的城堡保持庇护并反对迎面而来的攻击者的抛出。是的,战斗是肆虐的,如果我们想承认与否,我们贪图的数据和信息是主要目标。不要成为负面消息的来源,但世界蕴含着那些活着利用我们脆弱性并获得我们的安全,生计和和平的优势的人。简单的事实是,我们不应该避免考虑这些明显的阴险威胁只是因为他们是看不见的,我们不能把它们抱在手中。

这是一个意见作品,这些陈述显然并不意味着在继续阅读时踩踏物理墙壁并服用人类生活的威胁。相反,他们希望拓宽一个人的愿景"威胁_"并将其与我们如何应对那些更明显的威胁,并将其分类为真正的_Life威胁。恐怖主义,政治暴力和传染性,致命的疾病是真正的和有形的,但与他们的遥远的表兄弟分享了与遥远的表兄弟相同的人性特征 - 这些所谓的"隐形威胁"感染了网络世界。威胁和致命,但只是处于不同的水平。作为 埃博拉病毒, 基地组织伊斯兰国 武装分子在他们的疾病和暴力极端主义的领域内做出,最近的威胁就像heldbled和 贝壳冲击 释放在技术世界的弱势受害者的危险。我们不应该假设技术世界没有充满墙壁,窗户和像我们的物质世界中那些这样的门。这种假设和拒绝是严重弱势思想的几种症状中的第一个。我们也可能不会意识到在这种隐形世界中,我们的许多人房屋_"在他们的门上有迹象,阅读:"_compe。门是开放的."

被称为Heartbleed的安全漏洞是首次公开于2014年4月7日公开,作为openSSL加密库中的安全错误,广泛用于实现传输层安全性(TLS)协议。当宣布存在HeldBleed时,安全专家指出,它可能被利用"无论使用漏洞的OpenSSL实例是否为TLS是服务器或客户端。"错误 - 由芬兰网络安全公司的工程师命名 密码学 - 来自"实施TLS心跳扩展时不正确的输入验证。"当披露错误时,据说大约半百万个Web服务器(以前被认为是安全和认证的"_trusted当局_")的安全研究人员报告了它据说是开放和攻击的攻击。因此,这种意外的安全性"_hole_"在短时间内变得非常真实,非常威胁。

Codenomicon立即启动该网站 Heartbleed.com 教育公众关于错误,发布了"出血心标志_"作为关于问题的信息和持续新闻的快速标识符。这个漏洞很容易允许攻击者进入和窃取私人服务器密钥,用户密码和互联网会话cookie。来自全球各地的安全专家和技术组织被认为是Heartbleed成为一个"_cataStrophic _"事件。Forbes杂志写道,Hellbleed Bug"_IS自商业流量开始以来的最严重的漏洞开始在互联网上流动。"openssl在Heartbleed披露的同一天固定,但警告和谨慎的单词仍然挂在全球安全社区的嘴唇上。毕竟通过隐形世界敲响的所有担忧,恐慌和射门,在那里仍然是一个问题。逻辑上,你会认为大多数人都会回应标有灾难性的公告,与任何人一起对致命的病毒在水供应或武装的门口杀死无辜人民的致命事迹之外的新闻。但是,显然,没有看到不一定是重要的或真实的。

全球各国政府警察警察警察应在他们使用的所有网站上更改密码。一些组织宣布,任何想要真正的隐私和安全的人都应该"在接下来的几天里,一切都会完全远离互联网"公开披露并发布了一个月的一个月,并发布了Heartbley错误的修复,研究人员仍然是800,000个最受欢迎的TLS的网站中的大约1%的网站仍然使用Heartbled漏洞。在披露后两个月,报告显示超过300,000网站仍然没有尝试运行所需的贴片以插孔。考虑到技术世界的所有主要参与者,包括谷歌,苹果,微软和其他大型生产者,很快就会回应这种威胁,这是一个更大的切片居民的地面,我们中的许多人贯穿可能仍然脆弱。大多数人在通过感染着名的致命病毒感染的环境之前做了必要的预防措施吗? 为什么这种情况有很大不同? 现实是没有区别的。 两种情况下的无知都可能导致灾难。

在Heartbleed之后,另一个安全漏洞被称为 贝壳冲击 或Bashdoor是在2014年9月24日披露的。ShellShock被称为存在的安全错误的"_family_" Unix bash shell, 已广泛使用了一段时间。Web服务器使用bash启动和处理特定命令。漏洞版本将允许由黑客未经授权访问计算机系统,或者让攻击者在开放环境中执行自己的命令。在对BASH源代码的持续评估之后,研究人员估计这些漏洞在20多年内遭受了良好的内部抨击。在披露虫子之后不久,漏洞的报告开始地进行了表面,证实攻击者开始创建僵尸网络和发射 分布式拒绝服务(DDOS) 攻击并在受感染的计算机上扫描漏洞。

全球安全公司报告了数百万 攻击 与入侵有关 贝壳冲击。它已被阐明,并且可以损害数百万计算机系统,服务器和其他相关设备。关于攻击Akamai Technologies,美国国防部和雅虎的攻击发布了报告,澄清了炮弹虫的严重程度。众多网站和安全专家,包括解叠和CloudFlare,报告了超过1,800个网站的攻击超过17,400个攻击,该攻击始于其探头之前的24小时时间范围内的400个独特的IP地址。据估计,55%的炮弹相关攻击起源于中国和美国。还有报告称,每天都与此错误直接相关的每天追踪了约150万次攻击和探针。

如果您了解今天的技术,请参阅数据的价值 - 我们创建的珍贵信息 - 现在是运营我们生活和激励社会的燃料,您必须同意对此数据的威胁具有灾难性比例的损害潜力。如果您在今天的世界中看待这一点,严重性的数学就会更好地效果更好。例如,如果埃博拉无人看管并允许自由地传播和漫游,留下其运营商,没有外面的努力来打击其进步,加速和损坏将是惊人的。我们目睹了担心,压力和偏执的存在。在逻辑上,不受控制的爆发的预计影响已经推出了历史层面的良好努力。然而,随着所有这些努力,我们仍然看到死亡。我们仍然看到它传播。我们仍然看到它进入安全的地方。 为什么还是因为存在漏洞和入口经常常常或愚蠢地离开,所以威胁可以自由地行走。随着世界政治和社会气候变化和几代人在难以预测或阴沉的未来遗失的思想中,我们目睹了恐怖主义的日常行为,因为它的狼吞虎咽吞噬并摧毁。

现在,每天早晨,我们都会通过媒体渠道将恐怖和暴力的黑暗事件描述成现实。 即使在如此强大的反恐防御之中,为什么它们的增长仍在继续? 他们如何通过捕捉我们的恐惧如此轻松地突破地面? 他们再次了解了我们的漏洞以及如何利用它们。 遍历技术领域的威胁的功能有很大不同吗? 他们有一个独特的目的,课程和结果吗?? 为什么我们应该用较少的精力和精力来应对安全威胁? 如果没有建立有效的制止措施来阻止,威胁和感染这些威胁,这些威胁是否有较小的潜力在经济和社会上对我们造成严重危害?? 近年来的证据表明, 公众 严重假设网络威胁无法为我们的世界带来与疾病和极端分子相同的毁灭性。不幸的是,这种心态需要通过学习这些威胁来改变,并了解他们可以带到可见世界的伤害程度。威胁 伤心欲绝, 贝壳冲击,恶意软件的许多味道和其他漏洞都是 真实且非常危险。了解更多只会有助于加强防御,并保护我们免受独特水平的灾难。

阅读以前发表了关于Heartbleed,ShellShock和其他利用和漏洞的文章 Hostwinds博客存档.

撰写者 Bryon Turcotte  /  十月 13, 2014