賽門鐵克:我們能否信任 OpenSSL?

責(zé)任編輯:editor005

2016-04-21 15:03:16

摘自:FreeBuf.COM

盡管亞太地區(qū)設(shè)置的數(shù)據(jù)安全標(biāo)準(zhǔn)沒有歐盟的標(biāo)準(zhǔn)那么高,但總體趨勢是,與數(shù)據(jù)安全做法有關(guān)的規(guī)定愈發(fā)嚴(yán)格。它的運(yùn)行原理是迫使有漏洞的服務(wù)器在數(shù)據(jù)交換時(shí)降級為使用 512 位加密方式

盡管亞太地區(qū)設(shè)置的數(shù)據(jù)安全標(biāo)準(zhǔn)沒有歐盟的標(biāo)準(zhǔn)那么高,但總體趨勢是,與數(shù)據(jù)安全做法有關(guān)的規(guī)定愈發(fā)嚴(yán)格。

例如,韓國在 2014 年通過了《個(gè)人信息保護(hù)法修正案》,進(jìn) 一步加強(qiáng)了本已相當(dāng)嚴(yán)格的安全控制。根據(jù)修正案的規(guī)定, 公司如今必須向受影響的個(gè)人報(bào)告所有數(shù)據(jù)泄露情況,并且 當(dāng)涉及人數(shù)達(dá)到 10,000 人時(shí),必須向政府報(bào)告。違反者最高可被處以 1 億韓元的罰款,甚至可能面臨監(jiān)禁。受害方現(xiàn)允 許提出集體訴訟。

澳大利亞也在 2014 年修改了隱私法。目前,小范圍泄露的企業(yè)將被處以 110,000 澳元罰款,最高可達(dá) 110 萬澳元。

亞太地區(qū)的其他國家?guī)缀鹾翢o疑問會(huì)漸漸效仿,這至少是 為了在當(dāng)今世界能夠開展業(yè)務(wù),因?yàn)樵S多重要市場受到嚴(yán) 格的數(shù)據(jù)保護(hù)法規(guī)約束。長期以來,全球 IT 企業(yè)一直依賴 OpenSSL 加密作為數(shù)據(jù)安全的基礎(chǔ),但如今這種依賴性開始 受到質(zhì)疑。

毫無疑問,開源運(yùn)動(dòng)是軟件行業(yè)最值得稱道的進(jìn)步之一,它 由大公無私的程序員組成,他們在全球范圍內(nèi)合作開發(fā)有用 且免費(fèi)的軟件。遺憾的是,開源模型在安全領(lǐng)域的表現(xiàn)不盡 如人意,尤其是 OpenSSL 提供的加密。

問題的根源在于 OpenSSL 面臨人員和經(jīng)費(fèi)短缺的問題。事實(shí) 上,雖然它對于大批使用者而言十分重要,但是全身心致力 于這項(xiàng)工作的僅有一個(gè)人,分布在世界各地的十幾名程序員 偶爾提供幫助。

對于 OpenOffice 等其他開源工作,這不是問題。這些產(chǎn)品比 較穩(wěn)定,更重要的是,它們在修復(fù)漏洞的需要上并不迫切。 與此相反,毫不夸張的說,OpenSSL 遭受著不間斷的攻擊, 無情的黑客們夜以繼日地尋找著安全漏洞。此外,未修復(fù)的 漏洞可能帶來災(zāi)難性后果。

OpenSSL 確實(shí)會(huì)檢測問題,并定期發(fā)布修補(bǔ)程序。例如, 2015 年的前五個(gè)月中就發(fā)布了十九條修補(bǔ)程序。然而,從發(fā) 現(xiàn)漏洞到修復(fù)通常需要好幾個(gè)月的時(shí)間,在這段時(shí)間內(nèi)存在 著危險(xiǎn)的風(fēng)險(xiǎn)窗口。事實(shí)上,有跡象顯示,獨(dú)立貢獻(xiàn)者提交 的安全修補(bǔ)程序從未經(jīng)過評估或壓根沒有實(shí)施,這純粹是因 為缺乏資源。過去兩年中,這種情況導(dǎo)致了數(shù)目驚人的安全 漏洞。這些漏洞的具體工作方式令人不安,并表明人們需要更加警惕。

接二連三的問題

Heartbleed 的名字來源于它破壞的 OpenSSL 流量控制擴(kuò)展程序Heartbeat,它是近期可能造成災(zāi)難的最嚴(yán)重案例。

該漏洞不僅讓黑客有權(quán)攔截存在漏洞的客戶端和服務(wù)器之間的通信,并且為他們提供了獲取用戶名 / 密碼組合的權(quán)限, 而最糟糕的是,讓他們有權(quán)獲取有“皇冠上的寶石”之稱的任何加密系統(tǒng):加密過程本身所使用的私鑰。

到人們發(fā)現(xiàn) Heartbleed 時(shí),它已經(jīng)影響了互聯(lián)網(wǎng)66%的使用者。令人驚訝的是,它的起因是兩年前一名志愿者提交的一行代碼,這行代碼包含了一個(gè)錯(cuò)誤,而沒有人在標(biāo)準(zhǔn)審核過程中發(fā)現(xiàn)它。一個(gè)編程小錯(cuò)誤會(huì)嚴(yán)重危及互聯(lián)網(wǎng)上超過半數(shù)的使用者,這表明了OpenSSL有多脆弱。

FREAK(全稱為 Factoring Attack on RSA-EXPORT Key)利用 了上世紀(jì)九十年代美國政府一項(xiàng)禁止強(qiáng)加密產(chǎn)品出口的政策。該政策只允許出口較弱的 512 位產(chǎn)品,即所謂的出口級產(chǎn)品。 盡管對強(qiáng)加密產(chǎn)品出口的限制在大約二十年前就已被取消,但已用于無數(shù)應(yīng)用中的弱加密技術(shù)通常仍是選擇之一,即便 已經(jīng)有更強(qiáng)大的加密產(chǎn)品可供選擇。

FREAK 是一種中間人漏洞利用方法,于數(shù)據(jù)交換時(shí)在發(fā)送者和接受者之間插入一個(gè)隱藏的第三方。它的運(yùn)行原理是迫使有漏洞的服務(wù)器在數(shù)據(jù)交換時(shí)降級為使用 512 位加密方式,

使得數(shù)據(jù)變得相對容易解密。在大約十年里都沒有人發(fā)現(xiàn)這一漏洞。具有諷刺意味的是,美國的政策令FREAK漏洞利用成為可能,而一些遭受 FREAK 漏洞利用的網(wǎng)站正是美國的標(biāo)志性網(wǎng)站,包括 Whitehouse.gov 和 NSA.gov。

新加坡 Black Hat Asia 的研究人員近期發(fā)現(xiàn)的 Bar Mitzvah Attack 是源自另一項(xiàng)弱加密算法 RC4 的漏洞利用。盡管在很大程度上被更強(qiáng)大的 AES 算法替代,但 RC4 仍被用于約 30% 的 SSL/TSL 加密會(huì)話。它的名字源自它利用的漏洞已經(jīng)存在了13年。

Bar Mitzvah Attack 利用 RC4 脆弱的加密方式,在數(shù)據(jù)交換中 恢復(fù)純文本,其中包括信用卡號等敏感信息。這項(xiàng)漏洞利用 值得注意的地方在于,它不需要中間人。它通過竊聽就可以 工作,而隨著移動(dòng)設(shè)備的普及,竊聽變得越來越容易。

這四種漏洞利用情況是 OpenSSL 存在著長期通病的受到高度 關(guān)注的例子,但它們只是冰ft一角。其它備受矚目的例子包 括 POODLE、LOGJAM 和 SHELLSHOCK。2012 和 2013 年總計(jì)報(bào)告了近一千個(gè)漏洞,2014 年的數(shù)字僅小幅走低。

112應(yīng)對 OpenSSL 風(fēng)險(xiǎn)的 最佳做法

首先是使用 SSL/TLS 證書在服務(wù)器上進(jìn)行漏洞評估。這樣,企業(yè)可以確 定任何使用 SSL/TLS 證書的服務(wù)器中是否存在已知的漏洞。

可以解決已知的漏洞,但首先要發(fā)現(xiàn)它。

其次是采用網(wǎng)頁應(yīng)用程序防火墻 (WAF)。WAF 專為保護(hù)網(wǎng)絡(luò) 服務(wù)器而設(shè)計(jì),能夠阻止 SSL/TLS 加密的攻擊,并提供其他 技術(shù)無法實(shí)現(xiàn)的粒度防護(hù)水平。WAF 結(jié)合使用黑名單(如阻止 已知攻擊)和合法通信的白名單。它甚至能夠長期監(jiān)測 HTTP 流量,并提供白名單建議或自動(dòng)添加。

公司需要 WAF 提供的定制保護(hù),原因之一是如今許多網(wǎng)站上 嵌入了大量應(yīng)用程序接口。創(chuàng)建這些應(yīng)用程序使用的語言十 分復(fù)雜,有時(shí)自定義代碼會(huì)造成名為“自我傷害”的漏洞, 為攻擊者提供誘人的目標(biāo)。應(yīng)指出的是,WAF 是確保 PCI 合 規(guī)的理想方式。

第三條策略是更加重視持續(xù)監(jiān)測安全公告、網(wǎng)站以及其他發(fā) 布漏洞和修補(bǔ)程序信息的渠道,并采取行動(dòng)。沒有資源做到 這點(diǎn)的公司應(yīng)認(rèn)真考慮尋找合作伙伴。

IT 企業(yè)可采取的最后一步措施是評估它們的證書頒發(fā)機(jī)構(gòu) (CA)。 并非所有證書頒發(fā)機(jī)構(gòu)都是一樣的,因此 SSL/TLS 提供商也 不盡相同。在這方面,賽門鐵克的表現(xiàn)尤為引人注目。

在過去的超過十一年內(nèi),賽門鐵克的驗(yàn)證服務(wù)平均每天處 理超過四十五億次點(diǎn)擊,而停機(jī)時(shí)間為 0。

全世界前 100 大金融機(jī)構(gòu)中的 94 家以及財(cái)富五百強(qiáng)中的91% 均選擇賽門鐵克的 SSL/TLS 證書。

賽門鐵克功能強(qiáng)大的 PKI 基礎(chǔ)架構(gòu)包括軍隊(duì)級別的數(shù)據(jù)中 心和災(zāi)難恢復(fù)網(wǎng)站,提供無可匹敵的客戶數(shù)據(jù)保護(hù)和可用 性,讓客戶高枕無憂。

客戶端和服務(wù)器之間的通信(通常在商業(yè)環(huán)境中)面臨的風(fēng) 險(xiǎn)遠(yuǎn)高于以往,而一些最嚴(yán)重的風(fēng)險(xiǎn)與 OpenSSL 有關(guān)。幸運(yùn) 的是,通過采取最佳做法和選用確??煽考用艿漠a(chǎn)品及服務(wù), 企業(yè)能夠降低這些風(fēng)險(xiǎn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號