近日有研究人员公布,广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞,人们的账号密码、信用卡号码等个人信息可能会失窃。各大主流网站都在加紧解决这一问题。究竟是什么回事呢?普通网民是否会受到影响呢?国外媒体近日就这类疑问一一进行了详解。
何为SSL?
SSL是一流行的加密技术,可保护网络用户在互联网上传输的隐私信息。例如,访问诸如Gmail.com的安全网站时,你会看到URL左侧有一绿色的“锁头”图标,它意指你与该网站的通讯受到加密保护。以下是它在谷歌Chrome浏览器上的模样:
该锁头表明第三方会无法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话,他将只能够看到随即字符串,而无法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。
SSL是1994年最先由网景(Netscape)推出,自1990年代以来一直面向各款主流浏览器。近年来,主流的在线服务也都趋向使用该加密技术。目前,谷歌、雅虎和Facebook对于自家的网站和在线服务全都默认使用SSL加密技术。
何为Heartbleed漏洞?
大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一,研究人员公布该软件存在一个会致使用户通讯内容泄露的严重漏洞。OpenSSL存在这种漏洞已有约两年时间。
具体来说,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。
漏洞影响很大吗?
是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾(Ed Felten)指出,使用这种技术的攻击者会“通过模式匹配整理那些信息,试图找到密钥、密码以及诸如信用卡号码的个人信息”。
账号密码、信用卡号码失窃的严重性无需赘述,而密钥失窃甚至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者获得服务器的私有密钥,那他就能读取任何发送到服务器的信息。他甚至能够利用密钥冒充服务器,诱使用户泄露他们的账号密码和其它的敏感信息。
谁发现了漏洞?
是Codenomicon和谷歌安全部门(Google Security)的研究人员独立发现的。为了最大限度地降低公布漏洞会带来的损害,研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。
哪些人能够利用Heartbleed漏洞?
“利用该漏洞对于了解它的人来说并不是很难。”费尔腾透露。利用该漏洞的软件遍布于网络上,虽然该软件没iPad应用那么好用,但任何有编程基础的人都会知道怎么使用。
当然,该漏洞也许对于拥有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局(NSA)与美国电信服务提供商有秘密协定,它能够接入互联网干线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA获得破译私密通讯所需的私有密钥。
要是NSA已经在公众知晓之前发现Heartbleed漏洞的存在,也不会令人惊讶。鉴于OpenSSL是世界上最流行的加密软件,NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。
有多少网站受到影响?
目前还没有准确的数据,不过发现漏洞的研究人员指出,最流行的两家网络服务器Apache 和nginx均使用OpenSSL。二者加起来,共计覆盖约三分之二的网站。SSL还被其它的网络软件所使用,如桌面邮箱客户端和聊天软件。
研究人员是在几天前告知OpenSSL团队和其他的关键利益相关者漏洞情况的。因此,OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞,网站只需要确保它们使用的是OpenSSL最新版本。
雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修复,我们正在针对公司旗下其它的网站实施修复。”
谷歌称,“我们对SSL漏洞进行了评估,并已修复谷歌的各款主要服务。”Facebook也表示,它在漏洞公布时已经解决好该问题。
微软发言人则写道,“我们在跟进OpenSSL库问题的报告。要是确定它有对我们的设备与服务造成影响,我们会采取必要的措施来保护我们的用户。”
用户能怎么解决问题?
很遗憾,用户要是访问到采用含漏洞OpenSSL软件的网站,他们并不能保护自己。有问题的网站升级OpenSSL软件之后,用户才能够得到保护。
不过,受影响的网站修复好OpenSSL软件问题后,用户就可以通过更改自己的密码来保护自己。攻击者之前可能已经截取了用户的密码,费尔腾称用户可能无法判断他们的密码是否失窃。