近日,在互联网传输加密技术中有着重要位置的OpenSSL安全协议,曝出了一项重大的安全漏洞——Heartbleed漏洞(也被称为“心脏出血”漏洞)。由于OpenSSL安全协议一直被用于各大网银、电商网站、在线支付、电子邮件等重要网站上的通信数据加密,因此Heartbleed漏洞的曝出,无疑影响巨大,尤其是对网民的上网安全带来严重威胁。
什么是OpenSSL?
想了解什么是OpenSSL,首先得了解下SSL安全协议。
SSL是Secure Sockets Layer(安全套接层)的英文缩写,是网景公司(Netscape)推出首版Web浏览器的同时提出的,目的在于为网络通信提供安全和数据完整性保障,而SSL在传输层中会对网络通信进行加密。
虽然目前SSL是一种在互联网中广泛流行的加密技术,但一般网友可能却并未留意它的存在。当我们打开网银或电子邮件网站时,在浏览器的地址栏中看到“https://” 的开头时,就说明该网址采用了SSL安全协议了,而且在地址栏右侧可以看到一个锁型图案。
采用SSL安全协议的网站以“https://” 开头,同时在右侧可以看到一个锁型图案
而OpenSSL则是基于SSL的开放源代码实现的安全套件,可用来实现网络通信的高强度加密,并被广泛地用于各种网络应用程序中。OpenSSL包括了主要的密码演算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序为测试或其它目的使用。
OpenSSL曝Heartbleed漏洞
OpenSSL就像保障互联网上数据传输安全的一把“锁”,而现在这把“锁”被曝出现了“失灵”的问题。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中的Heartbleed模块存在着漏洞,黑客可以对存在此漏洞的https网站发起攻击,并套取用户的私密数据。
OpenSSL曝Heartbleed漏洞
对于存在漏洞版本的OpenSSL服务器,Heartbleed漏洞可以导致黑客远程读取,服务器内存中长达64K的数据。黑客通过该漏洞,经过不断地反覆获取,可以会获得含有用户http的原始请求、用户的cookie,甚至用户的明文帐号和密码等数据。
通过Heartbleed漏洞,黑客可以获得用户的明文帐号和密码(图片来自36kr.com)
最为危险的是,大家经常访问的支付宝、微信、淘宝等网站都存在这个漏洞,而且据安全专家称这个漏洞已经存在至少两年之久,只是在昨天才被曝出而已,所以很难估计到底有多少网站,多少用户的资料已被窃取。有网友对全球最流行的1000家网站进行了测试,结果发现有30%~40%的网站都存在该漏洞问题。
2如何应对Heartbleed漏洞?
Heartbleed漏洞影响版本
Heartbleed漏洞备受瞩目的原因还有:首先,这个漏洞很容易被黑客利用。其次,最关键的是通过Heartbleed漏洞的攻击是不留痕迹的,受袭的网站是无法知道是谁窃取了用户的数据,这样将很难追究其法律责任。
这一漏洞的官方名称为CVE-2014-0160。该漏洞影响了OpenSSL 1.0.1版本至1.0.1f版本,包括OpenSSL 1.0.2-beta版本。而1.0.1之前更老的版本并没有受到影响。现在为了应对Heartbleed漏洞,OpenSSL已经发布了1.0.1g版本,来修复这一漏洞,但相信各大网站对最新版本的升级还需一段时间。
不过,如果网站配置了一项名为“perfect forward secrecy”的功能,那么这一漏洞的影响将被大幅减小。该功能会改变安全密钥,因此即使某一特定密钥被获得,攻击者也无法解密以往和未来的加密数据。
如何应对Heartbleed漏洞?
对于个人用户来说,虽然有像淘宝、微信、民生银行等网站进行了较为迅速的版本升级来修补漏洞,但其他一些网站在修复这个漏洞时,可能还需要1-3天的时间。
民生银行网站提醒用户进行升级
因此建议在此期间,尽量不要登陆有漏洞的网站,等待其完成修复。网友可以通过访问heartbleed.com网站查询自己要登陆的网站是否安全。而对已经不小心登陆过尚未完成升级修复的网站用户来说,可以修改密码,进行安全防护。
heartbleed.com网站提供网站是否有Heartbleed漏洞的安全查询
对于企业用户来说,应该尽快升级到最新版本——OpenSSL 1.0.1g。而无法立即升级的用户可以用-DOPENSSL_NO_HEARTBEATS开关重新编译OpenSSL代码。而1.0.2-beta版本的漏洞将在beta2版本中修复。当然,升级后别忘记提醒用户进行密码更改,提醒云服务使用者更新SSL密钥重复证书等相关安全措施。
