【新唐人2014年4月10日訊】4月8日是微軟為XP系統服務的終結,更是OpenSSL被曝光隱藏核彈級漏洞Heartbleed的日子。這一天全球的互聯網公司歷經不眠夜,因為全球所有網站中有超過66%因為這一漏洞的爆出而暴露在危險之下。這意味著,即使我們用安全密碼登陸存在安全風險的網站,仍可能會發生銀行帳戶遭竊、網絡機密數據被盜、個人信息被洩露等等利益遭到損害的災難。
什麼是OpenSSL
對於非計算機行業的讀者來說,安全套接層協議/安全傳輸層協議(SSL/TLS)、開源安全套接層協議(OpenSSL)和數據包傳輸層安全協議(DTLS)是我們偶爾看到,但並不知其所以然的名詞。
且不去研究TLS是標準化了的SSL協議,一言以蔽之,OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議,其囊括主要的密碼算法、常用的密鑰和證書封裝管理功能,是現代網絡通訊實現高強度加密的最常用的手段之一。
換句話說,OpenSSL是互聯網用量最大的密碼鎖。《赫芬頓郵報》的報導認為,全球超過66%的網站使用這一協議保障安全,其中包括我們熟悉的雅虎、Flickr、Imagur、OKCupid甚至FBI網站。據36Kr網站報導,中國大陸人最常用的支付寶、微信、淘寶、網易、陌陌、各個大陸商業銀行的網銀、大陸流行的社交網站、門戶網站等也都是OpenSSL的用戶。
什麼是Heartbleed
在TLS/DTLS(TLS為標準化了的SSL)中,有一個叫心跳包(Heartbeat)的擴展,為TLS/DTLS提供了一個簡便的保持連接的方式。
4月8日,網絡專家發現OpenSSL 1.0.2-beta、OpenSSL 1.0.1至OpenSSL 1.0.1f在處理TLS心跳包擴展時,存在邊界漏洞,可以讓攻擊者利用這一漏洞,竊取連接的客戶端或服務器的存儲器內容,其中包括機密的加密數據和用於加密的密鑰等。
這一漏洞被利用的方法是,當攻擊者利用一個特殊的數據包滿足心跳包中無法提供足夠多的數據時,名為memcpy的存儲器將把SSLv3記錄之後的數據直接輸出,這一數據正是加密數據及密鑰等。
這個存在於心跳包的漏洞被命名為Heartbleed,英文直譯為「滴血的心」,官方名字為CVE-2014-0160。
互聯網公司與駭客的不眠夜
漏洞的消息被傳開後,各家網絡公司都在積極應對,或者將系統連夜升級到不存在此漏洞的OpenSSL 1.0.1g,或改為降低的OpenSSL 1.0.0版本,或者尋求其它的解決途徑。
網絡安全服務公司則忙著開始測試各個互聯網網站的安全性,尋找全球受影響網站並推出安全檢測腳本。
與此同時,駭客們也都緊張在工作著。他們利用各網絡公司尚未封鎖的漏洞,試圖竊取一些可用信息。
一場不見硝煙的互聯網大戰,就這樣如火如荼地展開著。