SSL 可能是大家接觸比較多的安全協議之一,看到某個網站用了「https://」 開頭,就是採用了 SSL 安全協議。而OpenSSL,則是為網路通訊提供安全及數據完整性的一種安全協議,囊括了主要的密碼演算法、常用的密鑰和證書封裝管理功能以及SSL 協議,並提供了豐富的應用程序供測試或其它目的使用。
OpenSSL 是一種開放源碼的SSL 實現,用來實現網路通訊的高強度加密,現在被廣泛地用於各種網路應用程序中。
換句話講,OpenSSL其實就是網際網路上銷量最大的鎖。而昨天,這把鎖出現了問題。OpenSSL曝出重大安全漏洞—— 「Heartbleed Bug」。Google 和網路安全公司 Codenomicon 的研究人員發現,OpenSSL Heartbleed 模塊存在一個 BUG:
簡單的說,駭客可以對使用https(存在此漏洞)的網站發起攻擊,每次讀取伺服器記憶體中64K數據,不斷的反覆獲取,內存中可能會含有用戶http原始請求、用戶cookie甚至明文帳號密碼等。大家經常訪問的支付寶、微信、淘寶等網站也存在這個漏洞。而更有網友測試了世界最流行 的1000家網站,結果30%~40%的都有問題。
除此之外,這個漏洞受到這麼多人重視還有別的原因:
- 這個漏洞已長時間存在,只是在昨天才被曝出。所以很難估計到底有多少網站,多少用戶的資料被竊取。
- 這個漏洞很容易被駭客利用。
- 不留痕跡。這可能是最關鍵的問題,網站無法知道是誰竊取了用戶訊息,很難追究法律責任。
這一漏洞的官方名稱為 CVE-2014-0160。該漏洞影響了 OpenSSL 1.0.1 版至 1.0.1f 版。而 1.0.1 之前更老的版本並沒有受到影響。OpenSSL 已經發布了 1.0.1g 版本,以修復這一問題,但網站對這一軟體的升級還需要一段時間。不過,如果網站配置了一項名為「perfect forward secrecy」的功能,那麼這一漏洞的影響將被大幅減小。該功能會改變安全密鑰,因此即使某一特定密鑰被獲得,攻擊者也無法解密以往和未來的加密數據。
如何應對該漏洞?
- 個人用戶防禦建議:
各個網站修復這個漏洞都可能需要1-3天的時間,有些反應較為迅速的網站如淘寶,微信等可能修復的更快。只要等有漏洞的網站修復完成就能登入了。當然,若還是不放心,你還可以點擊這里或者點擊這裡查看自己要登陸的網站是否安全。對已經不小心登陸過這些網站的用戶,可以修改一下 密碼。
除此之外,密切關注未來數日內的財務報告。因為攻擊者可以獲取伺服器記憶體中的信用卡訊息,所以要關注銀行報告中的陌生扣款。
- 企業防禦建議: 升級到最新版本OpenSSL 1.0.1g。無法立即升級的用戶可以以-DOPENSSL_NO_HEARTBEATS開關重新編譯OpenSSL。而1.0.2-beta版本的漏洞將在beta2版本修復。當然,升級後別忘記提醒用戶更改密碼、提醒雲服務使用者更新SSL密鑰重複證書。
推薦閱讀:邪紅色信息安全組織創始人@ Evi1m0發表的《核彈級漏洞爆出,互聯網公司不眠夜,網民們還蒙在鼓裡》一文,他實際測試了國內重要網站的受影響情況,有助於大家了解此次安全漏洞的嚴重程度。
[本文參考以下來源:heartbleed.com , gigaom.com ]
參見:
http://arstechnica.com/security/2014/04/vicious-heartbleed-bug-bites-millions-of-android-phones-other-devices/