解析OpenSSL漏洞:影响巨大 两年前已存在
Posted on Friday, April 11th, 2014 and under 其他.Warning: Undefined variable $before in /home3/myrunners/public_html/itudia.com/share/wp-content/themes/sim/single.php on line 19
Warning: Undefined variable $sep in /home3/myrunners/public_html/itudia.com/share/wp-content/themes/sim/single.php on line 19
Warning: Undefined variable $after in /home3/myrunners/public_html/itudia.com/share/wp-content/themes/sim/single.php on line 19
Tags: HeartbleedOpenSSLSSL
何为SSL?
SSL是一种流行加密技术,允许网络用户保护他们通过互联网传输的信息隐私。当你访问一个安全网站时,比如Gmail.com,你就会在网址前缀旁看到“一把锁”,这表明你与网站的通讯已经被加密。
这把锁还意味着第三方无法阅读你所发送或收到的任何信息。在协议内部,SSL将你的数据转化成一条编码信息,而且只有接受方知道如何进行解码,SSL就是这样实现了信息的加密。即便是不法分子进行监控,他们只能看到一个看似随机的字符串,而不是你的电邮内容、Facebook帖子、信用卡账号或其它隐私信息。
SSL在1994年由网景推出,自上世界90年代以来已经被主要浏览器所使用。近些年,主要在线服务开始逐渐默认使用加密服务。如今,谷歌、雅虎、Facebook全部都在其网站和在线服务中默认使用SSL加密服务。
什么是心脏流血(Heartbleed)漏洞
大多数SSL加密网站都基于一种名为OpenSSL的开源软件包。本周一,研究人员宣布在OpenSSL中发现了一处严重漏洞,可导致用户通讯被窃听。这个漏洞已经在OpenSSL中存在了两年时间。
以下就是漏洞被利用的工作原理:SSL标准中包含了一个心跳选项,它可以允许处于SSL连接一端的电脑发送短信息,确认另一台电脑仍然在线,并给与回应。研究人员发现,OpenSSL存在的一处漏洞可以使得SSL连接一端的电脑发送虚假心跳信息,欺骗另一端的电脑泄露机密信息。通俗地讲,一台存在漏洞的电脑可以被欺骗传输服务器内存内容。
影响大吗?
很大,因为大量隐私信息被存储在服务器内存中。普林斯顿大学电脑科学家艾德·费尔顿(Ed Felten)表示,攻击者可以根据模式匹配对信息进行分类,找出密钥、密码以及信用卡账号等个人信息。
对于密码和信用卡账号被盗的危害我不必都说。但是如果密钥丢失,危害将会更大,因为它是信息服务器用来破译收到加密信息的工具。如果攻击者拿到了一台服务器的私人密钥,他就可以阅读发送到这台服务器上的任何信息。攻击者甚至还可以利用密钥假冒服务器,欺骗用户泄露他们的密码和其它敏感信息。
谁发现了这一问题?
它是由安全解决方案供应商Codenomicon和谷歌安全部门的研究人员独立发现的。为了将这一漏洞披露的影响最小化,研究人员已经与OpenSSL团队和其他关键的内部人士合作,在公开公布这一漏洞前就准备好了修复方案。
谁可以利用心脏流血漏洞?
费尔顿称,对于了解该漏洞的人来说,对它进行利用并不是十分困难。可利用漏洞的软件在网上到处都是,尽管这些软件不像iPad应用那样便于用户使用,但是具备基本编程技术的人都会知道如何使用它。
当然,这一漏洞对于情报机构最有价值,后者拥有大规模拦截用户流量的基础设施。美国国家安全局(NSA)已经与美国电信提供达成了秘密协议,能够侵入互联网骨干网络。用户可能会想,Gmail、Facebook等网站上的SSL加密服务能够保护他们免遭窃听。然而,心脏流血漏洞能够帮助NSA获得解密私人通讯所需要的私人密钥。
目前还不确定NSA是否已经提前发现了心脏流血漏洞,但即便是他们提前发现,也不会令人感到惊讶。OpenSSL是全球使用最广的加密软件,NSA安全专家肯定已经细致研究了它的源代码。
多少网站受到影响?
目前还没有准确的统计数据,但是发现漏洞的研究人员称,最为流行的两大网络服务器Apache和nginx都使用了OpenSSL。综合来看,这两大服务器占据了全球网站的三分之二。SSL还被用于其它互联网软件,比如桌面电邮客户端以及聊天软件。
研究人员称,他们已经在几天前通知了OpenSSL团队和其他关键利益相关方。这种做法可以使得OpenSSL在漏洞向公众宣布的同时推出修复版软件。