x0z7blog01的部落格

美國新聞網站Vox周二撰文，對當天公佈的OpenSSL“心臟流血”漏洞進行瞭全面解讀。以下為文章全文：什麼是SSL？SSL是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。當用戶訪問Gmail.com等安全網站時，就會在URL地址旁看到一個“鎖”，表明你在該網站上的通訊信息都被加密。

這個“鎖”表明，第三方無法讀取你與該網站之間的任何通訊信息。在後臺，通過SSL加密的數據隻有接收者才能解密。如果不法分子監聽瞭用戶的對話，也隻能看到一串隨機字符串，而無法瞭解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。

SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器采納。最近幾年，很多大型網絡服務都已經默認利用這項技術加密數據。如今，谷歌、雅虎和Facebook都在使用SSL默認對其網站和網絡服務進行加密。

什麼是“心臟出血”漏洞？

多數SSL加密的網站都使用名為OpenSSL的開源軟件包。本周一，研究人員宣佈這款軟件存在嚴重漏洞，可能導致用戶的通訊信息暴露給監聽者。OpenSSL大約兩年前就已經存在這一缺陷。

工作原理：SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，並獲取反饋。研究人員發現，可以通過巧妙的手段發出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，並發送服務器內存中的信息。

該漏洞的影響大不大？

很大，因為有很多隱私信息都存儲在服務器內存中。普林斯頓大學計算機科學傢艾德·菲爾騰(Ed Felten)表示，使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理，從而找出密鑰、密碼，以及信用卡號等個人信息。

丟失瞭信用卡號和密碼的危害有多大，相信已經不言而喻。但密鑰被盜的後果可能更加嚴重。這是是信息服務器用於整理加密信息的一組代碼。如果攻擊者獲取瞭服務器的私鑰，便可讀取其收到的任何信息，甚至能夠利用密鑰假冒服務器，欺騙用戶泄露密碼和其他敏感信息。

誰發現的這個問題？

該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發現的。為瞭將影響降到最低，研究人員已經與OpenSSL團隊和其他關鍵的內部人士展開瞭合作，在公佈該問題前就已經準備好修復方案。

誰能利用“心臟流血”漏洞？

“對於瞭解這項漏洞的人，要對其加以利用並不困難。”菲爾騰說。利用這項漏洞的軟件在網上有很多，雖然這些軟件並不像iPad應用那麼容易使用，但任何擁有基本編程技能的人都能學會它的使用方法。

當然，這項漏洞對情報機構的價值或許最大，他們擁有足夠的基礎設施來對用戶流量展開大規模攔截。我們知道，美國國傢安全局(以下簡稱“NSA”)已經與美國電信運營商簽訂瞭秘密協議，可以進入到互聯網的骨幹網中。用戶或許認為，Gmail和Facebook等網站上的SSL加密技術可以保護他們不受監聽，但NSA 卻可以借助“心臟流血”漏洞獲取解密通訊信息的私鑰。

雖然現在還不能確定，但如果NSA在“心臟流血”漏洞公之於眾前就已經發現這一漏洞，也並不出人意料。OpenSSL是當今應用最廣泛的加密軟件之一，所以可以肯定的是，NSA的安全專傢已經非常細致地研究過它的源代碼。‘

有多少網站受到影響？

目前還沒有具體的統計數據，但發現該漏洞的研究人員指出，當今最熱門的兩大網絡服務器Apache和nginx都使用OpenSSL。總體來看，這兩種服務器約占全球網站總數的三分之二。SSL還被用在其他互聯網軟件中，比如桌面電子郵件客戶端和聊天軟件。

發現該漏洞的研究人員幾天前就已經通知OpenSSL團隊和重要的利益相關者。這讓OpenSSL得以在漏洞公佈當天就發佈瞭修復版本。為瞭解決該問題，各大網站需要盡快安裝最新版OpenSSL。

雅虎發言人表示：“我們的團隊已經在雅虎的主要資產中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財經、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署瞭適當的修復措施，我們目前正在努力為旗下的其他網站部署修復措施。”

谷歌表示：“我們已經評估瞭SSL漏洞，並且給谷歌的關鍵服務打上瞭補丁。”Facebook稱，在該漏洞公開時，該公司已經解決瞭這一問題。

微軟發言人也表示：“我們正在關註OpenSSL問題的報道。如果確實對我們的設備和服務有影響，我們會采取必要措施保護用戶。”

用戶應當如何應對該問題？

不幸的是，如果訪問瞭受影響的網站，用戶無法采取任何自保措施。受影響的網站的管理員需要升級軟件，才能為用戶提供適當的保護。

不過，一旦受影響的網站修復瞭這一問題，用戶便可以通過修改密碼來保護自己。攻擊者或許已經攔截瞭用戶的密碼，但用戶無法知道自己的密碼是否已被他人竊取。