相關文章

064431fab96648b73b5cd0cbd280e7fe SSL 可能是大家接觸比較多的安全協議之一,看到某個網站用了「https://」 開頭,就是採用了 SSL 安全協議。而OpenSSL,則是為網路通訊提供安全及數據完整性的一種安全協議,囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL 協議,並提供了豐富的應用程序供測試或其它目的使用。

OpenSSL 是一種開放源碼的SSL 實現,用來實現網路通訊的高強度加密,現在被廣泛地用於各種網路應用程序中。

換句話講,OpenSSL其實就是網際網路上銷量最大的鎖。而昨天,這把鎖出現了問題。OpenSSL曝出重大安全漏洞—— 「Heartbleed BugGoogle 和網路安全公司 Codenomicon 的研究人員發現,OpenSSL Heartbleed 模塊存在一個 BUG:

簡單的說,駭客可以對使用https(存在此漏洞)的網站發起攻擊,每次讀取伺服器記憶體中64K數據,不斷的反覆獲取,內存中可能會含有用戶http原始請求、用戶cookie甚至明文帳號密碼等。大家經常訪問的支付寶、微信、淘寶等網站也存在這個漏洞。而更有網友測試了世界最流行 ​的1000家網站,結果30%~40%的都有問題。

除此之外,這個漏洞受到這麼多人重視還有別的原因:

  1. 這個漏洞已長時間存在,只是在昨天才被曝出。所以很難估計到底有多少網站,多少用戶的資料被竊取。
  2. 這個漏洞很容易被駭客利用。
  3. 不留痕跡。這可能是最關鍵的問題,網站無法知道是誰竊取了用戶訊息,很難追究法律責任。

這一漏洞的官方名稱為 CVE-2014-0160。該漏洞影響了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本並沒有受到影響。OpenSSL 已經發布了 1.0.1g 版本,以修復這一問題,但網站對這一軟體的升級還需要一段時間。不過,如果網站配置了一項名為「perfect forward secrecy」的功能,那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰,因此即使某一特定密鑰被獲得,攻擊者也無法解密以往和未來的加密數據。


如何應對該漏洞?

  • 個人用戶防禦建議:

各個網站修復這個漏洞都可能需要1-3天的時間,有些反應較為迅速的網站如淘寶,微信等可能修復的更快。只要等有漏洞的網站修復完成就能登入了。當然,若還是不放心,你還可以點擊這里或者點擊這裡查看自己要登陸的網站是否安全。對已經不小心登陸過這些網站的用戶,可以修改一下 ​​密碼。

除此之外,密切關注未來數日內的財務報告。因為攻擊者可以獲取伺服器記憶體中的信用卡訊息,所以要關注銀行報告中的陌生扣款。

  • 企業防禦建議: 升級到最新版本OpenSSL 1.0.1g。無法立即升級的用戶可以以-DOPENSSL_NO_HEARTBEATS開關重新編譯OpenSSL。而1.0.2-beta版本的漏洞將在beta2版本修復。當然,升級後別忘記提醒用戶更改密碼、提醒雲服務使用者更新SSL密鑰重複證書。

推薦閱讀:邪紅色信息安全組織創始人@ Evi1m0發表的《核彈級漏洞爆出,互聯網公司不眠夜,網民們還蒙在鼓裡》一文,他實際測試了國內重要網站的受影響情況,有助於大家了解此次安全漏洞的嚴重程度。

[本文參考以下來源:heartbleed.com , gigaom.com ]

 

 

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則