從OpenSSL漏洞談及資料安全

曼妥思小丸子發表於2015-01-05
  


  相信這則關於安全漏洞的訊息大家都瞭解:一款應用廣泛的安全工具套件OpenSSL被發現一個重大漏洞,所有使用該安全套件的網站資訊都有被洩露的可能。


  漏洞主要針對Https開頭的網址,可能被洩露的資訊包括使用者登入賬號交易密碼等,大批網銀、知名購物網站、電子郵件等都“躺著中槍”。


  多備份多方諮詢後只想說一句,這是又一起道高一尺、魔高一丈的安全鬥法。被發現漏洞的是基礎技術層面的OpenSSL安全套件,所有使用OpenSSL安全套件的網站都可能被駭客利用漏洞攻擊,而使用者則是最終受害者。


  儘管OpenSSL已經很快對漏洞進行了修補,各大網站只要及時升級系統就不會再受到本次漏洞影響。但是從資料安全形度來說是否有點不妥呢


  OpenSSL漏洞事件緣由


  OpenSSL是一套具有穩固、商業用途且開放原始碼的SSL工具套件,囊括了主要的密碼演算法、常用的金鑰和證書封裝管理功能以及SSL協議,目前正在各大網銀、線上支付、電商網站、入口網站、電子郵件等重要網站上廣泛使用。


  舉個不完全恰當的例子,OpenSSL相當於一個高階別的“密碼鎖”,廣泛應用於需要加密的通訊傳輸協議,比如賬號登陸、網銀支付等。很多網站為了增加自身的安全性都使用了OpenSSL這把高階“密碼鎖”。


  但現在有駭客經過多年研究,找到了這個密碼鎖的鑰匙,就是今天提到的重大漏洞“Heartbleed(心臟流血)”。而拿著鑰匙的人可以輕易開啟這個鎖,來每次盜取64K大小的核心使用者資料,比較可怕的是,雖然每次只能盜取64K大小的檔案,但盜取次數不限。


  本次漏洞影響範圍特別廣泛,基本上所有使用HTTPS開頭的網站都會受到影響。據網路空間搜尋引擎釋出的資料表示,國內有3萬多個網路埠有可能受到此次漏洞的影響。


  據公開資料顯示,這一漏洞影響了OpenSSL的1.0.1和1.0.2測試版。目前OpenSSL已經發布了1.0.1g版本以修復這一問題。被漏洞問題波及的網站只需要更新OpenSSL的版本就可以不再受此漏洞的影響。


  截至發稿時,網上公佈了已完成本漏洞修復的一部分大型網站,12306鐵路客戶服務中心、微信公眾號、微信網頁版、QQ信箱、陌陌、雅虎、比特幣中國、支付寶、知乎、淘寶網、360應用等,百度也發訊息聲稱百度錢包等應用不受本次漏洞影響,而中國電信、京東商城等目前尚處於未修復狀態。


  我們能做什麼?


  就本次OpenSSL漏洞事件本身來說,如果純粹升個級就可以解決該漏洞問題,那麼此事將很快告一段落。


  但漏洞事件背後還存在兩個問題,一個是使用者,本次漏洞事件涉及到基本所有Https開頭的網址,雖然目前沒有官方資料公佈是否有人受到影響,但這個漏洞已經存在2年時間,不排除已經有駭客盜取了相關資料。所以為了穩妥,使用者可以把保密級別比較高的網銀、支付相關的密碼進行修改。


  另外據一位銀行的朋友說,銀行系統由於系統比較複雜,修復該漏洞可能最長需要2天時間。如果大家覺得不夠安全,可以在2天之後把密碼再修改一次。


  同時,作為普通使用者在日常使用中儘量提高自己的密碼保護級別。設定比較高階別的密碼,使用網站提供的一些密碼保護類產品都可以提高個人的安全級別。舉個例子,如果一個密碼鎖需要一個開鎖專家用3個小時破解,那無疑比一個外行人順手開啟要安全許多。


  當然,如果遇到類似OpenSSL這種問題,普通使用者是沒任何辦法避免的。


  另一個問題是被漏洞波及到的各大網站,應該及時修復OpenSSL漏洞,防止更多的使用者受到侵害。慶幸的是,很多人在瀏覽未修復OpenSSL的網站時,已經得到提示不要做比較危險的支付操作。


  OpenSSL漏洞事件僅僅反映出了冰山上的一角,還有更多危險是藏在水下的冰山。


  科技雙刃劍的效應越來越無法避免。網際網路產品在帶給人們足夠大方便的同時,又隱藏著巨大的安全風險。而方便和危險就像一個硬幣的兩面,無法分割。


  聖經中提到,我坐下,我起來,你都曉得。你從遠處知道我的意念。我行路,我躺臥,你都細察。你也深知我一切所行的。知道你一切行為的只有上帝嗎?不是的,深處網際網路時代,還有大資料瞭解你的行蹤。


  谷歌、亞馬遜等公司的諸多產品都樂於讓媒體曝光,藉此讓更多公眾知曉。唯獨大資料領域的採訪最為嚴格,需要經過董事會的批准才可以進行。


  因為大資料太敏感了。一方面媒體曝光容易引發安全問題,即使媒體釋出的資訊是對安全問題的褒獎,也涉及到的內容也可能被有心人趁虛而入。另一方面,使用者對自己資料也非常敏感,大資料經常會引發關於個人隱私問題的質疑。


  但是,不管說與不說,我們每個人已經被網際網路時代裹挾,想獨善其身是不可能的。就拿手機應用來舉個例子,如果移動運營商來分析某一個人的手機,只要查出他每次通話時候所使用的基站,就可以知曉他的生活、工作規律,所處位置。幾點起床,幾點上班,幾點忙碌。有無出差,出差頻率,範圍等等。


  而說到網際網路、移動網際網路領域的應用,個人資料洩露就更加廣泛而全面。使用者在使用網際網路溝通、購物、搜尋、社交等基本應用的同時,個人的行為習慣、興趣愛好甚至更高階別的手機、身份證、支付密碼等所有的資料都有可能被洩露。即使排除被不道德取得的資料,僅僅從不用加密的資料中,也可以得到足夠多的資訊。


  然後,對於普通使用者來說,既然享受到網際網路時代的便利,就需要承擔由此可能帶來的風險,逃無可逃。同時,你也可以寄希望於掌握資料的公司可以流淌著“道德的血液”,可以“不作惡”。


  這又應了網上盛傳的那句話,生活就像被那啥,既然無力反抗,那就好好享受吧。怕資料丟失怕出問題就趕緊備份起來,免得出問題了乾著急!況且乾著急也沒用!

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/30068578/viewspace-1390573/,如需轉載,請註明出處,否則將追究法律責任。

相關文章