【新唐人2014年4月10日讯】4月8日是微软为XP系统服务的终结,更是OpenSSL被曝光隐藏核弹级漏洞Heartbleed的日子。这一天全球的互联网公司历经不眠夜,因为全球所有网站中有超过66%因为这一漏洞的爆出而暴露在危险之下。这意味着,即使我们用安全密码登陆存在安全风险的网站,仍可能会发生银行账户遭窃、网络机密数据被盗、个人信息被泄露等等利益遭到损害的灾难。
什么是OpenSSL
对于非计算机行业的读者来说,安全套接层协议/安全传输层协议(SSL/TLS)、开源安全套接层协议(OpenSSL)和数据包传输层安全协议(DTLS)是我们偶尔看到,但并不知其所以然的名词。
且不去研究TLS是标准化了的SSL协议,一言以蔽之,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,其囊括主要的密码算法、常用的密钥和证书封装管理功能,是现代网络通讯实现高强度加密的最常用的手段之一。
换句话说,OpenSSL是互联网用量最大的密码锁。《赫芬顿邮报》的报导认为,全球超过66%的网站使用这一协议保障安全,其中包括我们熟悉的雅虎、Flickr、Imagur、OKCupid甚至FBI网站。据36Kr网站报导,中国大陆人最常用的支付宝、微信、淘宝、网易、陌陌、各个大陆商业银行的网银、大陆流行的社交网站、门户网站等也都是OpenSSL的用户。
什么是Heartbleed
在TLS/DTLS(TLS为标准化了的SSL)中,有一个叫心跳包(Heartbeat)的扩展,为TLS/DTLS提供了一个简便的保持连接的方式。
4月8日,网络专家发现OpenSSL 1.0.2-beta、OpenSSL 1.0.1至OpenSSL 1.0.1f在处理TLS心跳包扩展时,存在边界漏洞,可以让攻击者利用这一漏洞,窃取连接的客户端或服务器的存储器内容,其中包括机密的加密数据和用于加密的密钥等。
这一漏洞被利用的方法是,当攻击者利用一个特殊的数据包满足心跳包中无法提供足够多的数据时,名为memcpy的存储器将把SSLv3记录之后的数据直接输出,这一数据正是加密数据及密钥等。
这个存在于心跳包的漏洞被命名为Heartbleed,英文直译为“滴血的心”,官方名字为CVE-2014-0160。
互联网公司与骇客的不眠夜
漏洞的消息被传开后,各家网络公司都在积极应对,或者将系统连夜升级到不存在此漏洞的OpenSSL 1.0.1g,或改为降低的OpenSSL 1.0.0版本,或者寻求其它的解决途径。
网络安全服务公司则忙着开始测试各个互联网网站的安全性,寻找全球受影响网站并推出安全检测脚本。
与此同时,骇客们也都紧张在工作着。他们利用各网络公司尚未封锁的漏洞,试图窃取一些可用信息。
一场不见硝烟的互联网大战,就这样如火如荼地展开着。
