震驚全球網際網路的「核彈級漏洞」—— Heartbleed bug,就在昨天晚上(4 月 8 日)爆發。
整個下午,全球網路公司都處於緊急狀態中,拼了命的試圖修補各個服務上的巨大漏洞。究竟 Heartbleed bug 是什麼,令人如此聞之色變?
- 你得先搞清楚 OpenSSL 是什麼?
SSL 可能是大家接觸比較多的安全協議之一,看到某個網站用了 https:// 開頭,就是採用了 SSL 安全協議。而 OpenSSL,則是為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及 SSL 協議,並提供了豐富的應用程序供測試或其它目的使用。OpenSSL 是一種開放源碼的 SSL 實現,用來實現網絡通信的高強度加密,現在被廣泛地用於各種網絡應用程序中。
換句話說,OpenSSL 其實就是互聯網上銷量最大的鎖。而昨天,這把鎖出現了問題。OpenSSL 曝出重大安全漏洞——Heartbleed Bug 。Google 和網絡安全公司 Codenomicon 的研究人員發現,OpenSSL Heartbleed 模塊存在一個 BUG。
- Heartbleed bug 會怎樣?
簡單的說,駭客可以對使用 https(存在此漏洞) 的網站發起攻擊,每次讀取服務器內存中 64K 數據,不斷的反覆獲取,內存中可能會含有用戶 http 原始請求、用戶 Cookie 甚至明文帳號密碼等。大家經常到訪的支付寶、微信、淘寶等網站也存在這個漏洞。而更有網友測試了世界最流行 的 1000 家網站,結果 30%~40% 的都有問題。
除此之外,這個漏洞受到這麼多人重視還有別的原因:
1. 這個漏洞已長時間存在,只是在昨天才被曝出。所以很難估計到底有多少網站,多少用戶的資料被竊取。
2. 這個漏洞很容易被駭客利用。
3. 不留痕跡。這可能是最關鍵的問題,網站無法知道是誰竊取了用戶信息,很難追究法律責任。
這一漏洞的官方名稱為 CVE-2014-0160。該漏洞影響了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本並沒有受到影響。OpenSSL 已經發布了 1.0.1g 版本,以修復這一問題,但網站對這一軟件的升級還需要一段時間。不過,如果網站配置了一項名為「perfect forward secrecy」的功能,那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰,因此即使某一特定密鑰被獲得,攻擊者也無法解密以往和未來的加密數據。
- 如何應對該漏洞?
企業防禦建議: 升級到最新版本 OpenSSL 1.0.1g。無法立即升級的用戶可以以 -DOPENSSL_NO_HEARTBEATS 開關重新編譯 OpenSSL。而 1.0.2-beta 版本的漏洞將在 beta2 版本修復。當然,升級後別忘記提醒用戶更改密碼、提醒雲服務使用者更新 SSL 密鑰重複證書。
個人用戶防禦建議:各個網站修復這個漏洞都可能需要 1 ~ 3 天的時間,有些反應較為迅速的網站如淘寶,微信等可能修復的更快。只要等有漏洞的網站修復完成就能登陸了。以下是可能熱門網站是否受到 Heartbleed bug 影響的整理,建議可以儘快更換密碼以確保重要資料安全。除此之外,密切關注未來數日內的財務報告。因為攻擊者可以獲取服務器內存中的信用卡信息,所以要關注銀行報告中的陌生扣款。
- 社群網路危機清單
- 其他公司危機清單
- 信箱危機清單
- 商店與商務網站危機清單
- 金融機構網站危機清單
- 其他危機清單
(資料來源:Mashable、36Kr;圖片來源:x-ray delta one,CC Licensed)
Source: techorange.com