解析OpenSSL漏洞:影響巨大 兩年前已存在
什麼是SSL?
SSL是一種流行的加密技術,可以保護使用者透過網際網路傳輸的隱私資訊。當使用者訪問Gmail.com等安全網站時,就會在URL地址旁看到一個“鎖”,表明你在該網站上的通訊資訊都被加密。
這個“鎖”表明,第三方無法讀取你與該網站之間的任何通訊資訊。在後臺,透過SSL加密的資料只有接收者才能解密。如果不法分子監聽了使用者的對話,也只能看到一串隨機字串,而無法瞭解電子郵件、Facebook帖子、信用卡賬號或其他隱私資訊的具體內容。
SSL最早在1994年由網景推出,1990年代以來已經被所有主流瀏覽器採納。最近幾年,很多大型網路服務都已經預設利用這項技術加密資料。如今,谷歌、雅虎和Facebook都在使用SSL預設對其網站和網路服務進行加密。
什麼是“心臟出血”漏洞?
多數SSL加密的網站都使用名為OpenSSL的開源軟體包。本週一,研究人員宣佈這款軟體存在嚴重漏洞,可能導致使用者的通訊資訊暴露給監聽者。OpenSSL大約兩年前就已經存在這一缺陷。
工作原理:SSL標準包含一個心跳選項,允許SSL連線一端的電腦發出一條簡短的資訊,確認另一端的電腦仍然線上,並獲取反饋。研究人員發現,可以透過巧妙的手段發出惡意心跳資訊,欺騙另一端的電腦洩露機密資訊。受影響的電腦可能會因此而被騙,併傳送伺服器記憶體中的資訊。
該漏洞的影響大不大?
很大,因為有很多隱私資訊都儲存在伺服器記憶體中。普林斯頓大學電腦科學家艾德·菲爾騰(Ed Felten)表示,使用這項技術的攻擊者可以透過模式匹配對資訊進行分類整理,從而找出金鑰、密碼,以及信用卡號等個人資訊。
丟失了信用卡號和密碼的危害有多大,相信已經不言而喻。但金鑰被盜的後果可能更加嚴重。這是是資訊伺服器用於整理加密資訊的一組程式碼。如果攻擊者獲取了伺服器的私鑰,便可讀取其收到的任何資訊,甚至能夠利用金鑰假冒伺服器,欺騙使用者洩露密碼和其他敏感資訊。
誰發現的這個問題?
該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。為了將影響降到最低,研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開了合作,在公佈該問題前就已經準備好修復方案。
誰能利用“心臟流血”漏洞?
“對於瞭解這項漏洞的人,要對其加以利用並不困難。”菲爾騰說。利用這項漏洞的軟體在網上有很多,雖然這些軟體並不像iPad應用那麼容易使用,但任何擁有基本程式設計技能的人都能學會它的使用方法。
當然,這項漏洞對情報機構的價值或許最大,他們擁有足夠的基礎設施來對使用者流量展開大規模攔截。我們知道,美國國家安全域性(以下簡稱“NSA”)已經與美國電信運營商簽訂了秘密協議,可以進入到網際網路的骨幹網中。使用者或許認為,Gmail和Facebook等網站上的SSL加密技術可以保護他們不受監聽,但NSA 卻可以藉助“心臟流血”漏洞獲取解密通訊資訊的私鑰。
雖然現在還不能確定,但如果NSA在“心臟流血”漏洞公之於眾前就已經發現這一漏洞,也並不出人意料。OpenSSL是當今應用最廣泛的加密軟體之一,所以可以肯定的是,NSA的安全專家已經非常細緻地研究過它的原始碼。‘
有多少網站受到影響?
目前還沒有具體的統計資料,但發現該漏洞的研究人員指出,當今最熱門的兩大網路伺服器Apache和nginx都使用OpenSSL。總體來看,這兩種伺服器約佔全球網站總數的三分之二。SSL還被用在其他網際網路軟體中,比如桌面電子郵件客戶端和聊天軟體。
發現該漏洞的研究人員幾天前就已經通知OpenSSL團隊和重要的利益相關者。這讓OpenSSL得以在漏洞公佈當天就釋出了修復版本。為了解決該問題,各大網站需要儘快安裝最新版OpenSSL。
雅虎發言人表示:“我們的團隊已經在雅虎的主要資產中(包括雅虎主頁、雅虎搜尋、雅虎電郵、雅虎財經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當的修復措施,我們目前正在努力為旗下的其他網站部署修復措施。”
谷歌表示:“我們已經評估了SSL漏洞,並且給谷歌的關鍵服務打上了補丁。”Facebook稱,在該漏洞公開時,該公司已經解決了這一問題。
微軟發言人也表示:“我們正在關注OpenSSL問題的報導。如果確實對我們的裝置和服務有影響,我們會採取必要措施保護使用者。”
使用者應當如何應對該問題?
不幸的是,如果訪問了受影響的網站,使用者無法採取任何自保措施。受影響的網站的管理員需要升級軟體,才能為使用者提供適當的保護。
不過,一旦受影響的網站修復了這一問題,使用者便可以透過修改密碼來保護自己。攻擊者或許已經攔截了使用者的密碼,但使用者無法知道自己的密碼是否已被他人竊取。
via : http://tech.sina.com.cn/i/2014-04-09/10049307446.shtml
相關文章
- 解析OpenSSL漏洞
- 新發現DNS安全漏洞影響巨大,政企如何做好DNS安全防護?DNS
- Electron流行開源框架存在XSS漏洞 github wordpress等均受影響框架Github
- 微軟登入系統存在漏洞:使用者Office帳號受影響微軟
- Wi-Fi 網路 WPA2 加密協議曝巨大安全漏洞,影響所有裝置加密協議
- EA宣佈已修復影響3億玩家的Origin遊戲服務漏洞遊戲
- GHOST漏洞可能影響WordPress和PHP應用PHP
- 補丁已釋出近半年,50%聯網的GitLab仍受到RCE缺陷漏洞影響Gitlab
- UPnP協議CallStranger漏洞影響數百萬裝置協議Ranger
- jQuery 跨站指令碼漏洞影響大量網站jQuery指令碼網站
- 開源元件漏洞影響多個 CMS 系統元件
- iOS曝ZipperDown漏洞 快手、陌陌等均受影響!iOS
- BIND 9軟體漏洞影響DNS伺服器DNS伺服器
- 域名轉移影響域名解析嗎?
- 賽門鐵克企業防火牆曝已存在30年漏洞防火牆
- 微軟重大安全漏洞!影響所有Windows裝置微軟Windows
- namespace對axis解析xml請求的影響namespaceXML
- 影響域名解析生效的原因有哪些?
- oracle實驗記錄 (histogram是否影響解析)OracleHistogram
- 巴菲特 今年前兩季已賣出近1/3的IBM持股IBM
- GitHub漏洞允許任意程式碼執行,Windows不受影響GithubWindows
- AIX主機名|IP 解析順序及影響AI
- AIX主機|IP 稱解析順序及影響AI
- 影響OLTP 系統效能的儲存因素解析
- 影響代理IP訪問速度的兩個關鍵
- GitHub 當機超兩小時,影響數百萬開發者Github
- 從OpenSSL漏洞談及資料安全
- OpenSSL 開發者否認蓄意植入 Heartbleed 漏洞
- Galgame演出(下):國產遊戲究竟差在哪兒,論「通感」對遊戲的巨大影響GAM遊戲
- 謂詞條件的資料型別隨意書寫對SQL效能影響巨大資料型別SQL
- 遊戲從不孤立存在,談談影響遊戲設計的結構遊戲設計
- 所有支援狀態Windows 10獲更新:緩解Spectre漏洞影響Windows
- 14億Android裝置受Linux TCP漏洞的影響AndroidLinuxTCP
- 影響 Linux 系統安全基石的 glibc 嚴重漏洞Linux
- SIM卡加密存漏洞 將影響8億使用者加密
- 未來,人工智慧的發展將對我們的生活產生巨大的影響。人工智慧
- 英特爾、谷歌和AWS迴應CPU安全事件:AMD和ARM也有問題,影響巨大谷歌事件
- 關於OpenSSL“心臟出血”漏洞的分析