首先,这种漏洞携带一些有意思的攻击手段,当然,对于那些不幸中招的人产生了严重影响。尽管如此,为了使攻击者能够利用此漏洞,黑客需要使用其他漏洞来实现MITM访问。当然,如果用户拥有本地子网接入或者黑客通过DNS欺骗的方式的话都可以轻松进行MITM访问,但是这些要求本身已经增加了黑客利用漏洞的难度。
现在,让我们回顾一下有关该漏洞的五种传言:
传言一:用户不要再信任在线银行和网络零售商提供的HTTPS链接。
纠正: 用户不需要对这一点感到恐慌。因为黑客如果要利用这一漏洞,首先要有能力执行MITM攻击。值得一提的是,许多金融机构有一套方案来确保你是否是他们的客户。因此,虽然在使用互联网的时候要时刻保持安全意识和警惕心,但是也不需要比以往感到恐惧。
传言二:TLS加密不起作用。
纠正:该漏洞并没有赋予黑客读取加密数据的能力。它仅允许明文数据被插入加密对话中。TLS提供的加密强度没有受到此漏洞的影响。
传言三:OpenSSL发布了针对该漏洞的补丁。
纠正:OpenSSL团体发布了暂缓措施,它可以让管理员关闭SSL重启对话。对于我们来说,有必要清楚意识到该措施很大程度上未经测试,它对用户,应用程序和其他服务器的影响还是个未知数。任何考虑实施此措施的人,应该在非生产系统中先对它进行充分测试。
传言四:黑客正积极利用这一漏洞。
纠正: 目前为止,并没有证据能证明这一点。许多供应商和其他感兴趣的团体在谋求合作,并对该漏洞的使用进行积极监控。注意,由于攻击代码已经被公布,所以这一传言有可能成为事实。
传言五:这一漏洞仅影响HTTP数据。
纠正:它并非是HTTP特有的,而是针对TLS的漏洞。很多协议
以各种方式部署了TLS。现在,证实了在HTTP中存在漏洞
但是对于其他使用TLS的协议的漏洞调查仍在进行中,因此,我们有理由相信其他协议中也可能出现这一漏洞。
虽然这是一个很严重的漏洞,但并非传言中那么可怕。现在,很多供应商不止对各种攻击手段进行评估,而且也从回归测试和互用性测试两方面进行高质量补丁的开发。这不是个简单的过程,因为有很多种TLS部署,而且可能有数千种产品使用了其中一个或多个部署。请注意,这是一个TLS漏洞,而不但只关乎HTTP。其他协议也可能受到影响。
ICASI(互联网安全改进行业联盟)一直以来都在此事件中扮演着管理者和协调员的角色。许多非联盟供应商也牵涉其中,而ICASI欢迎所有有着直接利害关系的厂商和个人加入。
ICASI于11月11日发布了一项建议,建议的核心部分指向了暂缓措施和侦查配件。除此之外,我们还想向大家推荐一款由Leviathan Security研发的工具,它可以在任何Windows系统上运行。该工具可以查探,记录并阻止潜在的试探性攻击。Juniper Networks可以为这款工具提供技术支持。
购买了IDP等设备的Juniper客户也具备侦查配件。Juniper客户有两个可用的攻击对象。
SSL:Key Renegotiation——可用来侦查那些有可能是试探性攻击的关键对话重启。注意,在对策略设定任何拦截规则前要先测试自己的特定环境。
HTTP:Request Injection——只有加载私有SSL密钥的Juniper设备才可用来检查SSL流量。如果用户的IDP版本在 4.1以上,就可以用它来识别并拦截攻击。