近日有研究人員公布,廣為流行的網(wǎng)絡(luò)加密軟件OpenSSL存在名為Heartbleed的重大漏洞,人們的賬號密碼、信用卡號碼等個人信息可能會失竊。各大主流網(wǎng)站都在加緊解決這一問題。究竟是什么回事呢?普通網(wǎng)民是否會受到影響呢?國外媒體近日就這類疑問一一進行了詳解。
何為SSL?
SSL是一流行的加密技術(shù),可保護網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)上傳輸?shù)碾[私信息。例如,訪問諸如Gmail.com的安全網(wǎng)站時,你會看到URL左側(cè)有一綠色的“鎖頭”圖標(biāo),它意指你與該網(wǎng)站的通訊受到加密保護。以下是它在谷歌Chrome瀏覽器上的模樣:
詳解OpenSSL重大漏洞:誰會受影響?如何解決?
該鎖頭表明第三方會無法讀取你收發(fā)的任何信息。SSL具體是通過將你的數(shù)據(jù)轉(zhuǎn)變成只有接收方才能破譯的加密信息來實現(xiàn)這一點。如果有黑客監(jiān)聽你的對話,他將只能夠看到隨即字符串,而無法看到你的電郵內(nèi)容、Facebook帖子、信用卡號碼等私密信息。
SSL是1994年最先由網(wǎng)景(Netscape)推出,自1990年代以來一直面向各款主流瀏覽器。近年來,主流的在線服務(wù)也都趨向使用該加密技術(shù)。目前,谷歌、雅虎和Facebook對于自家的網(wǎng)站和在線服務(wù)全都默認(rèn)使用SSL加密技術(shù)。
何為Heartbleed漏洞?
大多數(shù)的SSL加密網(wǎng)站都基于名為OpenSSL的開源軟件包。周一,研究人員公布該軟件存在一個會致使用戶通訊內(nèi)容泄露的嚴(yán)重漏洞。OpenSSL存在這種漏洞已有約兩年時間。
具體來說,SSL標(biāo)準(zhǔn)包含heartbeat選項,讓SSL連接一端的計算機發(fā)出短信息來確認(rèn)另一臺計算機仍處于聯(lián)網(wǎng)狀態(tài)并獲得回復(fù)。研究人員發(fā)現(xiàn),存在發(fā)送偽裝的惡意heartbeat信息誘使SSL連接另一端的計算機泄露秘密信息的的可能性。也就是說計算機會被誘使傳輸服務(wù)器內(nèi)存中的內(nèi)容。
漏洞影響很大嗎?
是的。服務(wù)器內(nèi)存中存儲著大量的私密信息。普林斯頓大學(xué)計算機科學(xué)家艾德·費爾騰(Ed Felten)指出,使用這種技術(shù)的攻擊者會“通過模式匹配整理那些信息,試圖找到密鑰、密碼以及諸如信用卡號碼的個人信息”。
賬號密碼、信用卡號碼失竊的嚴(yán)重性無需贅述,而密鑰失竊甚至更加嚴(yán)重。密鑰是服務(wù)器用以譯出它所接受的加密信息的工具。如果攻擊者獲得服務(wù)器的私有密鑰,那他就能讀取任何發(fā)送到服務(wù)器的信息。他甚至能夠利用密鑰冒充服務(wù)器,誘使用戶泄露他們的賬號密碼和其它的敏感信息。
誰發(fā)現(xiàn)了漏洞?
是Codenomicon和谷歌安全部門(Google Security)的研究人員獨立發(fā)現(xiàn)的。為了最大限度地降低公布漏洞會帶來的損害,研究人員在公布之前先與OpenSSL團隊和其它的關(guān)鍵內(nèi)部人員合作準(zhǔn)備好修復(fù)方案。
哪些人能夠利用Heartbleed漏洞?
“利用該漏洞對于了解它的人來說并不是很難。”費爾騰透露。利用該漏洞的軟件遍布于網(wǎng)絡(luò)上,雖然該軟件沒iPad應(yīng)用那么好用,但任何有編程基礎(chǔ)的人都會知道怎么使用。
當(dāng)然,該漏洞也許對于擁有條件大規(guī)模攔截用戶流量的情報機構(gòu)而言最具價值。美國國家安全局(NSA)與美國電信服務(wù)提供商有秘密協(xié)定,它能夠接入互聯(lián)網(wǎng)干線。用戶可能會認(rèn)為Gmail、Facebook等網(wǎng)站上的SSL加密可以保護他們免受監(jiān)聽。但Heartbleed漏洞可讓NSA獲得破譯私密通訊所需的私有密鑰。
要是NSA已經(jīng)在公眾知曉之前發(fā)現(xiàn)Heartbleed漏洞的存在,也不會令人驚訝。鑒于OpenSSL是世界上最流行的加密軟件,NSA的安全專家之前很有可能仔細(xì)研究過OpenSSL的源代碼。
有多少網(wǎng)站受到影響?
目前還沒有準(zhǔn)確的數(shù)據(jù),不過發(fā)現(xiàn)漏洞的研究人員指出,最流行的兩家網(wǎng)絡(luò)服務(wù)器Apache 和nginx均使用OpenSSL。二者加起來,共計覆蓋約三分之二的網(wǎng)站。SSL還被其它的網(wǎng)絡(luò)軟件所使用,如桌面郵箱客戶端和聊天軟件。
研究人員是在幾天前告知OpenSSL團隊和其他的關(guān)鍵利益相關(guān)者漏洞情況的。因此,OpenSSL能夠在將漏洞公諸于眾的同時發(fā)布OpenSSL軟件的修復(fù)版本。要消除漏洞,網(wǎng)站只需要確保它們使用的是OpenSSL最新版本。
雅虎發(fā)言人表示,“我們的團隊已經(jīng)在雅虎的各個主要網(wǎng)站(雅虎主頁、雅虎搜索、雅虎郵箱、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修復(fù),我們正在針對公司旗下其它的網(wǎng)站實施修復(fù)。”
谷歌稱,“我們對SSL漏洞進行了評估,并已修復(fù)谷歌的各款主要服務(wù)。”Facebook也表示,它在漏洞公布時已經(jīng)解決好該問題。
微軟發(fā)言人則寫道,“我們在跟進OpenSSL庫問題的報告。要是確定它有對我們的設(shè)備與服務(wù)造成影響,我們會采取必要的措施來保護我們的用戶。”
用戶能怎么解決問題?
很遺憾,用戶要是訪問到采用含漏洞OpenSSL軟件的網(wǎng)站,他們并不能保護自己。有問題的網(wǎng)站升級OpenSSL軟件之后,用戶才能夠得到保護。
不過,受影響的網(wǎng)站修復(fù)好OpenSSL軟件問題后,用戶就可以通過更改自己的密碼來保護自己。攻擊者之前可能已經(jīng)截取了用戶的密碼,費爾騰稱用戶可能無法判斷他們的密碼是否失竊。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:拓步ERP資訊:詳解OpenSSL重大漏洞:誰會受影響?如何解決?