您的位置: 网界网 > 安全 > 正文

Heartbleed安全漏洞动摇互联网根基

2014年04月25日 01:59:30 | 作者:佚名 | 来源:财富中文网

摘要:一个名叫Heartbleed的网络安全漏洞已经存在了两年多时间。业内人士估计,在此期间,三分之二的网站都暴露在危险之中。这个漏洞使得黑客可以不留痕迹、轻轻松松地获取用户名、密码、信用卡详细资料在内的大量敏感信息,足以使几...

标签
互联网
安全漏洞
OpenSSL
Heartbleed
一个名叫Heartbleed的网络安全漏洞已经存在了两年多时间。业内人士估计,在此期间,三分之二的网站都暴露在危险之中。这个漏洞使得黑客可以不留痕迹、轻轻松松地获取用户名、密码、信用卡详细资料在内的大量敏感信息,足以使几乎整个互联网陷入危险。它的遗毒可能会延续多年。

    上周,网上曝出了更多关于互联网有史以来最大漏洞的细节。这个漏洞叫做Heartbleed(意为“心在滴血”)。各大主流网络公司纷纷手忙脚乱地给自己的系统打补丁,而且黑客们可能已经利用这个漏洞攫取了成百上千万用户的数据。这个漏洞已经存在两年多了,而且没有留下任何可疑活动的迹象。有人估计,自2011年以来,Heartbleed已经导致整个网络的三分之二陷入风险。

    Heartbleed影响的是OpenSSL,后者是用于网络数据加密的一项关键技术。Heartbleed允许网络攻击者从运行这个软件的服务器获取包括用户名、密码、信用卡详细资料等在内的敏感信息。虽然谷歌、微软以及苹果等公司使用的不是OpenSSL,但不计其数大大小小的公司普遍都采用了这项技术。

    利用Heartbleed漏洞的黑客可以从一个服务器上随机“钓”到大量的数据。虽然每次“钓鱼”攫取的数据相对较少,但是这个程序却可以一遍又一遍地重复,而且不留下任何入侵痕迹。黑客获得的数据可能包括用户的登陆信息、私人信息、电子邮件,甚至是加密密钥。这些密钥尤其重要,因为黑客有了它之后便可以成功伪造出一个山寨的网站,谁都看不出来它是假的。

    调查记者、网络安全调查专家布莱恩•克雷布斯已经针对这个漏洞发表了一篇深度报道。他告诉《财富》杂志:“攻击者可以窃取‘王国的钥匙’——也就是网站用来加密和解密访客所有通讯信息的密钥。由于互联网大范围地存在这个漏洞,因此它具有很高的危险性。虽然现在存在漏洞的网站可能不到50万个,但是其中很多网站都有几百万甚至几亿用户。”

    克雷布斯表示,网上已经有了可以用来检测Heartbleed漏洞的工具。包括雅虎、Flickr、OKCupid、Zoho、500px、Imgur在内的许多大型门户网站都存在这个漏洞,甚至连FBI的官网也未能幸免。到本周三早上,许多网站已经开始修补这个漏洞。雅虎表示已经开始对旗下的大部分网站进行升级。另外电子邮件服务器和即时通讯工具也存在同样的风险。

    对于任何一家在网络上占有一席之地并且使用OpenSSL工具的人来说,首当其冲的要务就是紧急升级网站和打补丁——或者紧急给相关的网站托管公司打电话让他们解决这个问题。虽然最新版本的OpenSSL已经修补了Heartbleed,但更新安全证书和重新设置加密密钥这样一个漫长而复杂的过程仍然是必要的。就算等到这个漏洞彻底消除,我们也没法知道在此之前已经丢失了多少信息。我们将在未来许多年里都能感受到Heartbleed的余威。

    克雷布斯说:“本周许多互联网用户可能从多个网站那里接到了不只一次请他们更改密码的要求。很多受到影响的网站的管理员在打好补丁后,还得更换他们自己的OpenSSL的密钥和安全证书。另外,由于很多网站都没有留下任何入侵痕迹,因此为了安全起见,这些网站也会建议用户更改登陆密码。”

    用户除了静待受影响的网站升级完毕之外,没什么可做的了。重设密码虽然有用,但是首先还得等那些网站升级完毕才管用。另外就是一些常识性的安全事项还得老调重弹——要密切注意自己的信用卡账单,留意可疑的网上活动。

    克雷布斯还补充树:“人们经常开玩笑说,‘噢,或许我们应该离互联网远一点,’以应对某些特定的网络威胁。我认为这回它可能并不是个坏主意。如果你正好登陆了一个存在风险的网站,那么你的授权被黑客窃取的可能性应该说是不小的……问题是终端用户现在仍然不清楚哪些网站是安全的,哪些网站是有风险的。”

    这个漏洞最早是由一批为谷歌和科诺康工作的编程人员发现的,他们在网上发布了一个信息页面。由于这个漏洞利用了OpenSSL的一个常用扩展工具Heartbeat,因此他们把这个漏洞命名为“Heartbleed”。他们在声明中说:“大家常用的热门社交网站、大家公司的网站、商业网站、兴趣网站、大家下载安装软件的网站,甚至连由政府运作的网站,可能都在使用存在风险的OpenSSL。”

    本周全球的IT经理[注]们都在火速升级自己的系统,同时祈祷不要有人利用Heartbleed干什么坏事。至于什么是最值得担忧的部分,他们或许永远都不会知道了。

参考资料

1.CIO:(Chief Information Officer),首席信息官,亦可称之为信息主管、信息总监等,是企业中信息化建设“统筹”人,是企业中不可或缺的高级主管职位之一,主要负责企业内部信息...详情>>

[责任编辑:鹿宁宁 lu_ningning]

我也说几句