【大纪元2014年04月10日讯】(大纪元记者王和综合报导)尽管很多普通互联网用户并未察觉,但从这个星期一开始,互联网正经历一场“大地震”,因为这一天谷歌的研究人员和芬兰一家安全公司Codenomicon宣布发现了被视为互联网安全通讯基础的SSL(安全套接层)安全协议出现了巨大的安全裂痕,被超过2/3网站用来实现这一协议软件的开源软件OpenSSL存在一个漏洞,这个漏洞让攻击者可以窃取用户以为加密传输的用户名、密码、信用卡号等敏感信息。
要理解这个被称为Heartbleed(中文暂译“心脏出血”,这一漏洞的确可以被认为这直接击中互联网的核心)的漏洞为何引发这么大的关注,需要首先清楚什么是SSL协议,这一协议又为何对互联网安全如此重要。
何为SSL?它为何如此重要?
即使非“技术控”的普通互联网用户也知道如果要在造访的网站输入敏感的个人信息,特别是个人金融信息,比如在购物网站上输入个人的信用卡号的时候,需要留意这个网站是否被加密,而加密的标志就是浏览器特定位置一个锁紧的锁头标志。
这个锁头意味着用户在这个网页上输入的任何信息都是经过一种复杂的SSL/TSL方式进行加密传输,只有发送者和发送者意图发送给的服务器可以看到这些信息。
这一点非常重要,因为互联网开放的架构,用户发送的任何信息都要经过很多网络上不同的节点(服务器)进行接力传输,因此一个从美国用户发给美国服务器的信息被在中国的服务器中转并非什么奇事。
要保证这些信息不被“有心人士”偷窥就要保证这些信息是加密的——当然SSL还有其它技术层面的东西来确保传输信息的可靠性,并非简单地加密。但简单地讲,SSL可以被理解为互联网上通用的“锁头”,所有的加密通讯都会使用到这把“锁头”,可以被称为互联网上互信的“基石”。
漏洞为何让互联网“心脏”出血?
而星期一公布的漏洞意味着这个被几乎所有互联网用户所信任的“锁头”本身是不可靠的。当然并非所有的锁头都不可靠,而是其中特定“锁匠”——OpenSSL软件——所制造的“锁头”不可靠。但问题是据信互联网上2/3的服务器是使用通过这个软件制造的锁头。
要全部理解这个漏洞显然不涉及技术细节是不可能的,但大致来说就是这个软件的最新版本(和通常漏洞涉及旧版本不同!)出现了一个微小但致命的编程漏洞,这个漏洞涉及一个被称为“心跳”(Heartbeat)的“扩展”,而漏洞让攻击者让每次“心跳”后可以读取服务器一定数量的内存,随着一次次的“心跳”,服务器最核心的内存信息就像“流血”(bleeding)一样被攻击者“吸走”,这也是这个漏洞名字的由来。
形象地说,就好像本来其他人送来的“加密包裹”应该关上门在不被别人打开的情况下开包检查,但这个漏洞打开了一扇不为主人所知的窗口,让外人可以一窥包裹中的内容,同时外人也可以看到主人打开这个包裹的钥匙,这意味着未来“偷窥者”不必每次在主人门口偷看(次数多了容易引起注意),而是在中间过程(记住这个包裹要经过很多地方)把包裹截取下来——在数字世界里面,相当于把包裹“复制”一份,然后自己不慌不忙地打开来看。
问题有多严重?如何应对?
首先一点,别被2/3服务器使用问题软件这个数字吓到,使用OpenSSL的更倾向于是独立和小型的网站,有“好事者”在漏洞被公布后的4月8日美东时间下午4时对在互联网排名网站Alex所列出的全球1,000个最大的网站进行测试,发现只有48家网站受到影响,440家网站并不存在这个漏洞(当然不排除他们在第一时间修补漏洞的可能)。
值得“庆幸”的是中国大陆的网站(诸如百度、QQ、淘宝等)这次表现优异,基本全部不受影响,但其原因是他们根本就不提供SSL加密服务——用户信息本来就是明文传输。
在为数不多受到影响的大网站中,雅虎(Yahoo.com)无疑是最出名的,这家公司近期频频在网络安全议题上被负面聚焦,该公司旗下的著名图片分享网站flickr.com也受到漏洞的影响。不过该公司随后声明已经对主要的服务进行了紧急修补。互联网流量排名前三名的谷歌(google.com)、脸书(facebook.com)和Youtube.com均在上述测试中过关。
但考虑到这一漏洞其实已经存在了至少两年(从2012年3月openSSL发布新版本后),目前的测试结果对过去两年中漏洞是否被黑客利用并无太大参考价值。目前还没有发现有这一漏洞已经被利用的迹象——如果有人通过这一漏洞大规模的窃取个人密码信息,可能会有很多关于自己银行账户被“清空”的消息。
但安全专家警告个人钱财没有失窃并不意味着漏洞没有被发现或利用,因为有一群攻击者他们关注的不是某人银行账户的钱财,而是更加敏感的信息,他们就是各个国家的情报部门,对于这些部门来说,他们最希望的是这个漏洞永远不要被发现。
总部在波士顿的互联网安全公司Rapid7的全球安全战略专家Trey Ford表示对于诸如美国国安局和中共国家安全部这些部门是否已经在利用这个漏洞进行情报收集这个问题,除非他们自己出面承认,否则外界基本上是无法给出确定的答案的。
Ford表示Heartbleed漏洞的一个危险之处在于攻击者不会在服务器上留下任何痕迹,因此如果有人发动了攻击,甚至无法证实攻击发生了。因此目前唯一能做的是对受影响的服务器尽快打“补丁”,同时重新生成密钥(这些密钥可能已经在不知名的地方被储存着),而作为用户需要做的是更换所有的密码,至少是对那些传输和储存自己财务信息的网站,但前提是服务器必须预先打好补丁。
心脏出血漏洞对普通用户影响
针对“心脏出血”漏洞的影响,各大媒体对一些常见问题进行了总结和解答,下面选译了一些和普通用户比较相关的内容。
问:我计划近期在网上报税,考虑到这会涉及到如此多的个人信息,这是否安全?
答:美国国税局(IRS)星期三公布了一个声明,表示该机构未受到“心脏出血”漏洞的影响,并称鼓励民众继续和平常一样在4月15日截止日之前抓紧报税。
不过加拿大国税局(CRA)在星期三表示出于对“心脏出血”漏洞的考虑已经对外关闭了其电子报税的服务器,加拿大报税的截止日期是4月底。该机构表示正在努力尽快恢复服务,并表示会对因此而受到影响的报税人作出酌情考量。
问:我该如何应对这一漏洞?
答:作为普通用户基本上没有太多可以做的,但安全专家建议在未来几天的时间内避免登陆在线购物、银行网站和其它需要输入敏感数据,如姓名、地址、信用卡号等的网站。如果需要,最好预先确认相关网站已经修补这一漏洞。全球最大的购物网站亚马逊(Amazon.com)已经表示其网站不受这一漏洞影响。安全专家建议普通用户不要大意,因为SSL在现代互联网上的重要作用,修补这一漏洞涉及的面非常广,也相当复杂,并非简单地打一个安全补丁这么简单,很多网站可能要经过很长时间才能彻底解决相关的问题。
问:我的手机、电脑等设备是否需要打“补丁”?
答:简单地说,如果你只是使用你的设备浏览互联网,你不需要在自己的设备上进行任何操作,受影响的软件OpenSSL只是安装在你所访问的服务器上。所以你能做的就是静静地等待服务器那里修补这一漏洞,并在这之后修改你的密码。
当然,如果你的手机和设备上运行了一些依赖SSL协议的应用,一个比较普遍的例子是用来连接公司内部网络的VPN(虚拟专属网络)客户端,则你可能需要进行更新,以免本应加密的信息被截取,一些应用已经开始发布修补漏洞的更新。
问:在哪些网站上我需要更新密码?
答:安全专家的建议是对所有网站进行更新,但一些最著名的公司已经对外作出安全“保证”,他们的用户无需更换密码。其中包括谷歌,该公司发言人对路透社说:“我们已经提前修补了这个漏洞,因此谷歌用户不必更改密码”。
亚马逊的发言人仅表示Amazon.com不受影响,但拒绝给出更多细节。不过雅虎已经呼吁所有使用其服务的用户更新他们密码。其它被证实受影响的知名网站包括图片分享网站imgur.com和flickr.com。
互联网陷“乱局” 国家黑客在行动
在各大公司的IT专家忙于修补“心脏出血”之际,互联网安全专家发现包括国家资助的黑客团体在内,不少人已经开始大规模地在互联网上寻找存在安全漏洞的服务器。
据路透社报导,杀毒软件公司卡巴斯基(Kaspersky)的研究者Kurt Baumgartner表示,他们星期一已经发现一些据信涉及“国家资助”的网络间谍行动的黑客团体正在使用自动工具对互联网进行大规模的“扫描”,以期发现那些有漏洞的服务器。
卡巴斯基并未透露他们所发现的这些“国家资助”黑客团体的细节,不过,去年2月19日美国电脑网络安全公司Mandiant曝光驻扎上海浦东的中共61398部队发动了针对美国企业的攻击,给出了中共当局以国家力量资助针对企业的黑客行为的明确证据。
这种扫描在关于这个漏洞公布后不久就已经开始浮出水面,而到星期二的时候已经有数十个这类“团体”在进行这种扫描,而到了星期三,在Rapid7公司发布了一个免费的扫描工具后,这类扫描的数量激增。
Baumgartner表示,现在是“全民皆兵”的时刻,谁都可以寻找有漏洞的服务器,并试图利用它。尽管目前已经出现了自动搜索有漏洞的服务器的工具,但尚未发现有公开的利用这一漏洞的工具,但依照以往的经验,这类工具很快就会出现。
不过普通用户千万不要为了“尝鲜”而利用这些工具,一方面窃取他人信息违法,另外一方面网上所出现的所谓工具很可能本身就被夹带了“私货”,可能会窃取你本身的信息,让“木马屠城”的悲剧在你的电脑设备上上演。
(责任编辑:李缘)
