近日有研究人員公布,廣為流行的網絡加密軟體OpenSSL存在名為Heartbleed的重大漏洞,人們的賬号密碼、信用卡号碼等個人資訊可能會 失竊。各大主流網站都在加緊解決這一問題。究竟是什麼回事呢?普通網民是否會受到影響呢?國外媒體近日就這類疑問一一進行了詳解。
何為SSL?
SSL是一流行的加密技術,可保護網絡使用者在網際網路上傳輸的隐私資訊。例如,通路諸如Gmail.com的安全網站時,你會看到URL左側有一綠色的“鎖頭”圖示,它意指你與該網站的通訊受到加密保護。以下是它在谷歌Chrome浏覽器上的模樣:
該鎖頭表明第三方會無法讀取你收發的任何資訊。SSL具體是通過将你的資料轉變成隻有接收方才能破譯的加密資訊來實作這一點。如果有黑客監聽你的對話,他将隻能夠看到随即字元串,而無法看到你的電郵内容、Facebook文章、信用卡号碼等私密資訊。
SSL是1994年最先由網景(Netscape)推出,自1990年代以來一直面向各款主流浏覽器。近年來,主流的線上服務也都趨向使用該加密技術。目前,谷歌、雅虎和Facebook對于自家的網站和線上服務全都預設使用SSL加密技術。
何為Heartbleed漏洞?
大多數的SSL加密網站都基于名為OpenSSL的開源軟體包。周一,研究人員公布該軟體存在一個會緻使使用者通訊内容洩露的嚴重漏洞。OpenSSL存在這種漏洞已有約兩年時間。
具體來說,SSL标準包含heartbeat選項,讓SSL連接配接一端的計算機發出短資訊來确認另一台計算機仍處于聯網狀态并獲得回複。研究人員 發現,存在發送僞裝的惡意heartbeat資訊誘使SSL連接配接另一端的計算機洩露秘密資訊的的可能性。也就是說計算機會被誘使傳輸伺服器記憶體中的内容。
漏洞影響很大嗎?
是的。伺服器記憶體中存儲着大量的私密資訊。普林斯頓大學計算機科學家艾德·費爾騰(Ed Felten)指出,使用這種技術的攻擊者會“通過模式比對整理那些資訊,試圖找到密鑰、密碼以及諸如信用卡号碼的個人資訊”。
賬号密碼、信用卡号碼失竊的嚴重性無需贅述,而密鑰失竊甚至更加嚴重。密鑰是伺服器用以譯出它所接受的加密資訊的工具。如果攻擊者獲得伺服器的 私有密鑰,那他就能讀取任何發送到伺服器的資訊。他甚至能夠利用密鑰冒充伺服器,誘使使用者洩露他們的賬号密碼和其它的敏感資訊。
誰發現了漏洞?
是Codenomicon和谷歌安全部門(Google Security)的研究人員獨立發現的。為了最大限度地降低公布漏洞會帶來的損害,研究人員在公布之前先與OpenSSL團隊和其它的關鍵内部人員合作準備好修複方案。
哪些人能夠利用Heartbleed漏洞?
“利用該漏洞對于了解它的人來說并不是很難。”費爾騰透露。利用該漏洞的軟體遍布于網絡上,雖然該軟體沒iPad應用那麼好用,但任何有程式設計基礎的人都會知道怎麼使用。
當然,該漏洞也許對于擁有條件大規模攔截使用者流量的情報機構而言最具價值。美國國家安全局(NSA)與美國電信服務提供商有秘密協定,它能夠接入網際網路幹線。使用者可能會認為Gmail、Facebook等網站上的SSL加密可以保護他們免受監聽。但Heartbleed漏洞可讓NSA獲得破譯私密通訊所需的私有密鑰。
要是NSA已經在公衆知曉之前發現Heartbleed漏洞的存在,也不會令人驚訝。鑒于OpenSSL是世界上最流行的加密軟體,NSA的安全專家之前很有可能仔細研究過OpenSSL的源代碼。
有多少網站受到影響?
目前還沒有準确的資料,不過發現漏洞的研究人員指出,最流行的兩家網絡伺服器Apache 和nginx均使用OpenSSL。二者加起來,共計覆寫約三分之二的網站。SSL還被其它的網絡軟體所使用,如桌面郵箱用戶端和聊天軟體。
研究人員是在幾天前告知OpenSSL團隊和其他的關鍵利益相關者漏洞情況的。是以,OpenSSL能夠在将漏洞公諸于衆的同時釋出OpenSSL軟體的修複版本。要消除漏洞,網站隻需要確定它們使用的是OpenSSL最新版本。
雅虎發言人表示,“我們的團隊已經在雅虎的各個主要網站(雅虎首頁、雅虎搜尋、雅虎郵箱、雅虎财經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修複,我們正在針對公司旗下其它的網站實施修複。”
谷歌稱,“我們對SSL漏洞進行了評估,并已修複谷歌的各款主要服務。”Facebook也表示,它在漏洞公布時已經解決好該問題。
微軟發言人則寫道,“我們在跟進OpenSSL庫問題的報告。要是确定它有對我們的裝置與服務造成影響,我們會采取必要的措施來保護我們的使用者。”
使用者能怎麼解決問題?
很遺憾,使用者要是通路到采用含漏洞OpenSSL軟體的網站,他們并不能保護自己。有問題的網站更新OpenSSL軟體之後,使用者才能夠得到保護。
不過,受影響的網站修複好OpenSSL軟體問題後,使用者就可以通過更改自己的密碼來保護自己。攻擊者之前可能已經截取了使用者的密碼,費爾騰稱使用者可能無法判斷他們的密碼是否失竊。
-------------------------------