OpenSSL 心脏出血引发全球恐慌

作者: 微歌 分类: 动态随笔 发布时间: 2014-04-15 01:04 ė 6 没有评论

  最近,网络安全公司 Codenomicon 和谷歌的工程师发现了加密协议 OpenSSL 的重大安全漏洞,这个名为『Heartbleed(心脏出血)』的漏洞一时间成了各大媒体的头条。OpenSSL 协议广泛应用于网银、在线支付、电子邮件、电商等网站,发现此漏洞的黑客只需坐在电脑前,就可以实时获取约 30% 以 https 开头网址的用户登录账号密码。可以说,OpenSSL 的『心脏出血』再一次把网络安全问题推到了风口浪尖。
  443 端口是 OpenSSL 的一个常用端口,用于加密网页访问。数据显示,我国境内有 1601250 台机器使用 443 端口,其中有 33303 台受到了本次 OpenSSL 漏洞的影响。除了 443,还有邮件、即时通讯等端口,受影响的范围肯定更广。
  大家访问邮箱、银行网站、电子商务网站时,常看到浏览器地址栏中有『https://』标识,这表示网站使用了 TLS 或 SSL 协议加密的,这样的网站基本上都使用了OpenSSL。
  OpenSSL『心脏出血』主要原因是基础的安全通信方式出了问题,具体地说,OpenSSL 的『心跳模块』存在一个漏洞,可以让攻击者直接获取服务器上 64K 内存中的数据内容。用户访问网站的 Cookies、SSL 私钥、帐号密码、隐私消息等数据都有可能泄露。其实,据说,OpenSSL 的『心脏出血』早在 2012 年就已被发现,只不过在今年 4 月 7 号才被正式收录。
  黑客可以利用该漏洞攻击服务器的密钥,继而读取到其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码等敏感信息。
  由于黑客每次只能获取服务器上 64KB 的数据,重要信息不一定正好落在这个『片段』,所以,并不是所有使用了 OpenSSL 的网站用户信息都会被泄露。但由于每台计算机每秒钟可以执行 1-2 次攻击,黑客还是有可能大面积抓取信息的。据中关村在线介绍的一个例子,某人在某电商网站上用『心脏出血』漏洞尝试读取数据,在读取了 200 次后,获得了 40 多个用户名、7 个密码,用这些密码,他成功登录了该网站。
  或者可以这样说,如果你使用的网站(或网络服务)使用了 OpenSSL,那你的账户密码有可能被泄露(也有可能没有),而且,网站(或网络服务)所有者大都在发现问题后已经打了相应的安全补丁。
  尽管如此,微歌还是强烈建议大家及时修改密码,以确保账户安全。

  国外有可能受到『心脏出血』漏洞影响的网站:点击这里查看

  你也可以使用下面这个网站来验证你使用的网络服务是否受影响:

  『心脏出血』漏洞检测网站:http://filippo.io/Heartbleed/

  上面的网站中只列了国外的网站,国内的没有(国内的通常采用『习惯性否认』),微歌建议大家把国内的(包括银行网站、手机服务商网站、邮箱网站、电子支付网站、电子商务网站等)密码也及时进行修改。
  顺便介绍一下,OpenSSL 出现『心脏出血』没有及时修复据说是太穷(缺钱),据 OpenSSL 软件基金会董事长兼联合创始人 Steve Marquess 透露,OpenSSL 项目通常一年只收到 2000 美元捐款。公开『心脏出血』后增加了 OpenSSL 的曝光度,基金会收到了约 200 次捐款,总额约 3000 美元,捐款金额从 0.02 到 300 美元不等。看来,OpenSSL 真的是太穷了,这点钱请一个普通程序员都请不起。要知道,全球已经有无数家公司使用 OpenSSL,其中不乏思科、雅虎这样的科技巨头。

本文出自微歌,转载时请注明出处及相应链接。

本文永久链接: https://wego2.com/OpenSSL-xin-zang-chu-xue-yin-fa-quan-qiu-kong-huang.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Ɣ回顶部