昨天,关于 Heartbleed漏洞的消息在网络上引发了激烈的讨论。这个从OpenSSL项目中爆出的漏洞让攻击者可以在多种加密传输的网络数据中窃取用户信息,由于OpenSSL被广泛使用在Web服务器、邮件协议、通讯协议中,所以一时间受影响的用户数量难以估计。
在谈Heartbleed漏洞之前,我们不得不先说一下什么是OpenSSL,不过由于其和SSL有着莫大的关系而且用户平常接触到最多的也许就是SSL安全协议了,所以我们先从介绍SSL入手。
对于经常在浏览器中使用Gmail或者QQ邮箱的用户来说,如果你曾经留心过就会发现无论是使用IE还Chrome浏览器,一旦转入邮箱登录界面,浏览器地址栏就会变成https开头,而普通网页基本上都是http开头的。多出来的这个s是“安全”的缩写,它的出现就表示用户和服务器之间的通信是加密传输的。对于各类涉及密码和私人信息的网络产品来说这样的加密显然是非常必要的。
Https传输协议之所以比http安全是因为多出了SSL层,而SSL的全称则是Secure Sockets Layer(安全套接层),它是由网景公司在推出首版Web浏览器的同时提出的一种安全协议,其目的就是为网络通信提供安全及数据完整性保障,使客户与服务器应用之间的通信不被攻击者窃听。
在客户端和服务器之间通过SSL进行通信的过程中可能会需要公钥、私钥、证书等多种文件来确认安全性,而OpenSSL套件即能实现SSL协议又提供了常用的密钥、证书封装管理功能,再加上其开源和跨平台的特性,它自然就成了诸多开发人员的选择。
虽然要支持SSL协议并非一定要使用OpenSSL,但由于OpenSSL已经得到了广泛地使用,所以Heartbleed漏洞自然也就造成了广泛的影响。Heartbleed漏洞最先是由 Codenomicon和Google Security的安全研究人员发现的,它让攻击者可以远程读取使用OpenSSL的服务器内存中64kb的数据。而且,只要攻击者需要,它可以在存在漏洞的服务器中重复读取,直到找出自己想要的数据。
虽然64kb数据听上去并不大,但从网上放出的图片中我们可以看到其中已经足够包含用户名、用户密码以及个人信息在内的诸多敏感信息。对应到国内像微信公众号、微信网页版、YY语言、淘宝、陌陌等都网络服务受到了影响。
目前,OpenSSL官方已经放出修复版本,并且国内诸多大厂商也在第一时间迅速修补了漏洞。所以用户并不用过于担心。此外,对于心存疑虑的用户,网络上也有开发者提供了在线漏洞检测工具,用户可以登录 Filippo来检测自己访问的网站是否安全。
不过,虽然出问题的服务商正在逐步修复自家的服务,修复版的OpenSSL也已经放出,但问题并没有被完全被解决——由于利用Heartbleed漏洞攻击不会留下任何日志信息,所以大多数服务商都无法统计到底有多少用户数据被窃取,这自然也就为接下来的防护工作带来了麻烦。 对于用户来说,如果你在漏洞爆发期间登录了一些使用加密服务的站点并且输入了个人重要信息,那么为了安全起见最好还是自行修改一下账户信息。
Heartbleed漏洞事件再次显示出了网络安全的脆弱性,当然对于那些重视安全的厂商来说这也给了它们升级基础服务、增加安全强度的机会。看上去这也许是这次严重的安全威胁带来的为数不多的“好处”了。
相关阅读:
