访问主要内容
网络经纬

造成世界网络安全恐慌的漏洞:Heartbleed

音频 06:44

在网络无处不在的二十一世纪,不少人每天都在使用着各种各样的网络技术提供给用户的服务,包括邮件,社交网站,银行,政府部门等,人们在私人信息输入到网络里的时候,可能已经忘记了网络可能存在的安全问题,个人资料可能落入别有用心的网络攻击者手中,从而让使用网络成为一个噩梦。

广告

4月8号这一天,就爆出了一个震惊世界的的消息,证实一向被认为是最安全的网络上出现了一个漏洞,大家突然发现在过去的两年中,不少网络一直处于十分不安全的状态中。而这次的网络安全问题并不是由骇客高手炮制出来的,而是网络安全公司的编程员在编程的过程中产生的漏洞导致。这个互联网史上最大的色网络漏洞的发现过程也是完全出于偶然,是安全公司Codenomicon的工程师安蒂•卡加莱和谷歌安全研究人员在正常的工作时,无意中发现的。漏洞在发现之初被标识为“CVE-2014-0160“,但随后就获得了  Heartbleed(心脏流血)的称号,并拥有了一颗正在流血的心的标示图案,形象地表达了通过这个漏洞,网络内存里用户的重要信息会像血一样流出来。

Heartbleed漏洞被认为对广泛流行的开源OpenSSL软件包造成了严重威胁,其衍生的危害是独一无二,前所未有的。主要原因是这个漏洞可以诱使服务器将其内存中的数据泄露出来,从而可能让黑客掌握这一漏洞,并进一步窃取诸如信用卡和密码等之类的敏感信息。从开源OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,而由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计。虽然世界上各大重要的网站纷纷表示已经采取了修补措施,但目前为止还难以估计其后果。

因此Heartbleed漏洞的消息一旦爆出,在网络上引发了激烈的讨论和恐慌,各大网站也纷纷建议用户更改密码。

实际上,这一网络噩梦的产生也颇具戏剧性和偶然性,漏洞“始作俑者”被认为是OpenSSL德国程序员罗宾 ∙塞格拉曼(Robin Seggelman),他于2011年新年前夕向OpenSSL项目递交了一系列网络错误修正和新增功能,其中一项包含着未对长度变量进行验证的程序错误,不幸的是,代码审查者在审查代码时也没有注意到这个错误,错误程序随后就被包含在了新版OpenSSL中。因此,代码最终从开发者手中到了加密软件里。这名德国软件开发员否认这个安全漏洞是精心安排的,他承认OpenSSL中的这个错误是“不起眼的”,但影响却“十分严重。

美国密码学学者、資讯安全专家與与家布鲁斯∙施耐德在他的博客上对Heatbleed漏洞造成的影响做了这样的表述,他说:“本质上,一个黑客一次可以从一台服务器抓取到64Kb内存。但这种攻击不留痕迹,而且可以重复多次。这意味着内存中 的任何信息,包括SSL密码,用户密码都不安全。 而且你必须假设一切信息都被偷取了。所以这是灾难性的。如果要从1到10来评级的话,可以将此评为11级。”这个说法虽然有点危言耸听,但将Heartbleed漏洞可能导致的严重后果形象地表达了出来。

虽然64kb数据听上去并不大,但从网上放出的图片中我们可以看到其中已经足够包含用户名、用户密码以及个人信息在内的诸多敏感信息。对应到中国国内像微信公众号、微信网页版、淘宝等都网络服务受到了影响。而估计,从有漏洞的软件上市后,2012年到2014年期间,世界上2/3的网站都受到影响,包括社交网站,银行和网上购物等超过50万个网站。
作为修复手段,目前OpenSSL官方已经放出修复版本,许多网站都在第一时间修复了这个安全漏洞,包括国外普遍使用的社交网站Facebook,YouTube,Instagram。用户也可以用检查器来查看自己喜爱的网络服务是否仍然存在这个漏洞,一旦这些公司修复好漏洞,建议大家最好更换一下你的服务密码。此外,对于心存疑虑的用户,网络上也有开发者提供了在线漏洞检测工具,用户可以登录Filippo来检测自己访问的网站是否安全。

不过,虽然出问题的服务商正在逐步修复自家的服务,修复版的OpenSSL也已经放出,但问题并没有被完全被解决  由于利用Heartbleed 漏洞攻击不会留下任何信息,所以大多数服务商都无法统计到底有多少用户数据被窃取,这自然也就为接下来的防护工作带来了麻烦。对于用户来说,如果你在漏洞爆发期间登录了一些使用加密服务的站点并且输入了个人重要信息,那么为了安全起见最好还是自行修改一下账户信息。
 

页面未找到

您尝试访问的内容不存在或不再可用。