從OpenSSL漏洞談及資料安全

　　


　　相信這則關於安全漏洞的訊息大家都瞭解：一款應用廣泛的安全工具套件OpenSSL被發現一個重大漏洞，所有使用該安全套件的網站資訊都有被洩露的可能。


　　漏洞主要針對Https開頭的網址，可能被洩露的資訊包括使用者登入賬號交易密碼等，大批網銀、知名購物網站、電子郵件等都“躺著中槍”。


　　多備份多方諮詢後只想說一句，這是又一起道高一尺、魔高一丈的安全鬥法。被發現漏洞的是基礎技術層面的OpenSSL安全套件，所有使用OpenSSL安全套件的網站都可能被駭客利用漏洞攻擊，而使用者則是最終受害者。


　　儘管OpenSSL已經很快對漏洞進行了修補，各大網站只要及時升級系統就不會再受到本次漏洞影響。但是從資料安全形度來說是否有點不妥呢


　　OpenSSL漏洞事件緣由


　　OpenSSL是一套具有穩固、商業用途且開放原始碼的SSL工具套件，囊括了主要的密碼演算法、常用的金鑰和證書封裝管理功能以及SSL協議，目前正在各大網銀、線上支付、電商網站、入口網站、電子郵件等重要網站上廣泛使用。


　　舉個不完全恰當的例子，OpenSSL相當於一個高階別的“密碼鎖”，廣泛應用於需要加密的通訊傳輸協議，比如賬號登陸、網銀支付等。很多網站為了增加自身的安全性都使用了OpenSSL這把高階“密碼鎖”。


　　但現在有駭客經過多年研究，找到了這個密碼鎖的鑰匙，就是今天提到的重大漏洞“Heartbleed(心臟流血)”。而拿著鑰匙的人可以輕易開啟這個鎖，來每次盜取64K大小的核心使用者資料，比較可怕的是，雖然每次只能盜取64K大小的檔案，但盜取次數不限。


　　本次漏洞影響範圍特別廣泛，基本上所有使用HTTPS開頭的網站都會受到影響。據網路空間搜尋引擎釋出的資料表示，國內有3萬多個網路埠有可能受到此次漏洞的影響。


　　據公開資料顯示，這一漏洞影響了OpenSSL的1.0.1和1.0.2測試版。目前OpenSSL已經發布了1.0.1g版本以修復這一問題。被漏洞問題波及的網站只需要更新OpenSSL的版本就可以不再受此漏洞的影響。


　　截至發稿時，網上公佈了已完成本漏洞修復的一部分大型網站，12306鐵路客戶服務中心、微信公眾號、微信網頁版、QQ信箱、陌陌、雅虎、比特幣中國、支付寶、知乎、淘寶網、360應用等，百度也發訊息聲稱百度錢包等應用不受本次漏洞影響，而中國電信、京東商城等目前尚處於未修復狀態。


　　我們能做什麼?


　　就本次OpenSSL漏洞事件本身來說，如果純粹升個級就可以解決該漏洞問題，那麼此事將很快告一段落。


　　但漏洞事件背後還存在兩個問題，一個是使用者，本次漏洞事件涉及到基本所有Https開頭的網址，雖然目前沒有官方資料公佈是否有人受到影響，但這個漏洞已經存在2年時間，不排除已經有駭客盜取了相關資料。所以為了穩妥，使用者可以把保密級別比較高的網銀、支付相關的密碼進行修改。


　　另外據一位銀行的朋友說，銀行系統由於系統比較複雜，修復該漏洞可能最長需要2天時間。如果大家覺得不夠安全，可以在2天之後把密碼再修改一次。


　　同時，作為普通使用者在日常使用中儘量提高自己的密碼保護級別。設定比較高階別的密碼，使用網站提供的一些密碼保護類產品都可以提高個人的安全級別。舉個例子，如果一個密碼鎖需要一個開鎖專家用3個小時破解，那無疑比一個外行人順手開啟要安全許多。


　　當然，如果遇到類似OpenSSL這種問題，普通使用者是沒任何辦法避免的。


　　另一個問題是被漏洞波及到的各大網站，應該及時修復OpenSSL漏洞，防止更多的使用者受到侵害。慶幸的是，很多人在瀏覽未修復OpenSSL的網站時，已經得到提示不要做比較危險的支付操作。


　　OpenSSL漏洞事件僅僅反映出了冰山上的一角，還有更多危險是藏在水下的冰山。


　　科技雙刃劍的效應越來越無法避免。網際網路產品在帶給人們足夠大方便的同時，又隱藏著巨大的安全風險。而方便和危險就像一個硬幣的兩面，無法分割。


　　聖經中提到，我坐下，我起來，你都曉得。你從遠處知道我的意念。我行路，我躺臥，你都細察。你也深知我一切所行的。知道你一切行為的只有上帝嗎?不是的，深處網際網路時代，還有大資料瞭解你的行蹤。


　　谷歌、亞馬遜等公司的諸多產品都樂於讓媒體曝光，藉此讓更多公眾知曉。唯獨大資料領域的採訪最為嚴格，需要經過董事會的批准才可以進行。


　　因為大資料太敏感了。一方面媒體曝光容易引發安全問題，即使媒體釋出的資訊是對安全問題的褒獎，也涉及到的內容也可能被有心人趁虛而入。另一方面，使用者對自己資料也非常敏感，大資料經常會引發關於個人隱私問題的質疑。


　　但是，不管說與不說，我們每個人已經被網際網路時代裹挾，想獨善其身是不可能的。就拿手機應用來舉個例子，如果移動運營商來分析某一個人的手機，只要查出他每次通話時候所使用的基站，就可以知曉他的生活、工作規律，所處位置。幾點起床，幾點上班，幾點忙碌。有無出差，出差頻率，範圍等等。


　　而說到網際網路、移動網際網路領域的應用，個人資料洩露就更加廣泛而全面。使用者在使用網際網路溝通、購物、搜尋、社交等基本應用的同時，個人的行為習慣、興趣愛好甚至更高階別的手機、身份證、支付密碼等所有的資料都有可能被洩露。即使排除被不道德取得的資料，僅僅從不用加密的資料中，也可以得到足夠多的資訊。


　　然後，對於普通使用者來說，既然享受到網際網路時代的便利，就需要承擔由此可能帶來的風險，逃無可逃。同時，你也可以寄希望於掌握資料的公司可以流淌著“道德的血液”，可以“不作惡”。


　　這又應了網上盛傳的那句話，生活就像被那啥，既然無力反抗，那就好好享受吧。怕資料丟失怕出問題就趕緊備份起來，免得出問題了乾著急!況且乾著急也沒用!