随着云计算技术的飞速发展,用户将自己的数据储存在云端,在云平台上的很多应用开始变得重要起来,同时“软件定义一切”理念的不断深入和应用使得当今的用户对于软件应用的呼声不断升高。 对于企业来说,很多关键业务都是需要企业软件来进行支撑的,如果企业所应用的软件存在很致命的漏洞,那么将会给企业带来无法衡量的损失。本期我们就来聊聊在刚刚过去的一年当中,那些致命的企业软件漏洞问题。 Heartbleed 这个名叫“心脏出血”的漏洞在去年4月份首次被曝光,这个漏洞允许黑客直接攻击任何采用OpenSSL的服务器,它不仅可以破解加密数据,还可从内存里读取随机数据,影响了全网约三分之二的服务器。
此外,它允许黑客直接窃取用户密码,私人秘钥以及其他一些敏感数据。即使修复了Heartbleed,用户也需要大规模修改密码。
直到现在,很多服务器仍然没有修复,据统计,仍有30万网络设备仍没有安装补丁,其中包括一些网络摄像头、打印机、存储服务器、路由器和防火墙等。 Shellshock 存在了两年之久的Shellshock被放在了Unix“bash”功能中,并且从未在公开场合被发现过,包括了shell工具的Linux或Mac服务器都可能受影响。
去年9月在漏洞被发现的一段时间内,就有上千台电脑感染了恶意软件,被用于僵尸网络攻击。而且,初步补丁很快就被发现存在自身漏洞。第一个找到这一安全漏洞安全研究员Robert David Graham称,它比Heartbleed还严重。 POODLE 在Heartbleed攻击了世界各地的加密服务器6个月后,一组谷歌研究人员发现了另一个加密漏洞,可攻击连接到服务器另一端的设备:电脑和电话。
这个存在于SSL 3.0中的漏洞允许黑客攻击用户电话,拦截用户电脑和在线服务之间加密的所有数据,不同于Heartbleed,黑客若想要利用POODLE漏洞,就必须和被入侵者在同一个网络。该漏洞主要是威胁开放WiFi网络。 BadUSB 在2014年发现的最阴险的漏洞与软件代码中的漏洞没关系,这让它几乎无法修补。它就是BadUSB,初次亮相于8月份的黑帽大会上,让USB安全陷入信任危机。
由于内存芯片可被重写,黑客可用恶意软件感染USB控制器芯片,这让它无法像平常一样被扫描出来。例如,拇指驱动器可能包含无法察觉的恶意软件,偷偷窃取用户指令。
只有大约一半的USB芯片是可重写的,会受到BadUSB攻击。但由于USB制造商经常心血来潮更换供应商,几乎不可能知道哪些设备容易受到BadUSB攻击。唯一的应对方法就是,把USB设备当“注射器”一样使用,永远不共享或者绝不插入到一个不可信的设备上。 (责任编辑:IT) |