广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞,人们的账号密码、信用卡号码等个人信息可能会失窃。各大主流网站都在加紧解决这一问题。
OpenSSL是目前最流行的开源加密库和TLS协议实现,是Apache和nginx Web server默认使用的加密库,数据显示66%的网站运行Apache和nginx Web服务器。Heartbleed bug是代码中缺少边界检查导致的,利用它攻击者事实上可以绕过TLS保护,直接从处理OpenSSL进程的计算机内存中获取加密密钥和用户密码等敏感信 息。
绰号为“心脏出血(Heartbleed)” 的OpenSSL高危漏洞影响了三分之二的Web服务。安全研究人员称,即使受影响Web服务安装了最新的OpenSSL补丁,他们仍然可能容易受到攻击,因为攻击者有可能已经窃取到了数字证书的私钥和用户的密码等网站登录验证信息, 互联网公司可能需要撤销所有暴露的私钥,重新发行新的密钥,让所有会话密钥和会话cookies失效。Amazon Web Services、雅虎、Tumblr、GitHub、BitSight Technologies和密码管理公司LastPass等企业都表示在给OpenSSL软件打上最新的补丁。雅虎的发言人说,该公司团队已对雅虎的主要属性成功进行了适当的修正。安全研究人员Mark Loman在Yahoo Mail上的演示显示,他可以轻松利用一个开源工具获取Yahoo Mail的明文用户密码。
近日有研究人员公布,究竟是什么回事呢?普通网民是否会受到影响呢?国外媒体近日就这类疑问一一进行了详解。
SSL是什么?
SSL是一流行的加密技术,可保护网络用户在互联网上传输的隐私信息。例如,访问诸如Gmail.com的安全网站时,你会看到URL左侧有一绿色的“锁头”图标,它意指你与该网站的通讯受到加密保护。以下是它在谷歌Chrome浏览器上的模样:
该锁头表明第三方会无法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话,他将只能够看到随即字符串,而无法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。
SSL是1994年最先由网景(Netscape)推出,自1990年代以来一直面向各款主流浏览器。近年来,主流的在线服务也都趋向使用该加密技术。目前,谷歌、雅虎和Facebook对于自家的网站和在线服务全都默认使用SSL加密技术。
何为Heartbleed漏洞?
大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一,研究人员公布该软件存在一个会致使用户通讯内容泄露的严重漏洞。OpenSSL存在这种漏洞已有约两年时间。
具体来说,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。
漏洞影响很大吗?
是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾(Ed Felten)指出,使用这种技术的攻击者会“通过模式匹配整理那些信息,试图找到密钥、密码以及诸如信用卡号码的个人信息”。
账号密码、信用卡号码失窃的严重性无需赘述,而密钥失窃甚至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者获得服务器的私有密钥,那他就能读取任何发送到服务器的信息。他甚至能够利用密钥冒充服务器,诱使用户泄露他们的账号密码和其它的敏感信息。
谁发现了漏洞?
是Codenomicon和谷歌安全部门(Google Security)的研究人员独立发现的。为了最大限度地降低公布漏洞会带来的损害,研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。
哪些人能够利用Heartbleed漏洞?
“利用该漏洞对于了解它的人来说并不是很难。”费尔腾透露。利用该漏洞的软件遍布于网络上,虽然该软件没iPad应用那么好用,但任何有编程基础的人都会知道怎么使用。
当然,该漏洞也许对于拥有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局(NSA)与美国电信服务提供商有秘密协定,它能够接入互联网干线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA获得破译私密通讯所需的私有密钥。
要是NSA已经在公众知晓之前发现Heartbleed漏洞的存在,也不会令人惊讶。鉴于OpenSSL是世界上最流行的加密软件,NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。
有多少网站受到影响?
目前还没有准确的数据,不过发现漏洞的研究人员指出,最流行的两家网络服务器Apache 和nginx均使用OpenSSL。二者加起来,共计覆盖约三分之二的网站。SSL还被其它的网络软件所使用,如桌面邮箱客户端和聊天软件。
研究人员是在几天前告知OpenSSL团队和其他的关键利益相关者漏洞情况的。因此,OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞,网站只需要确保它们使用的是OpenSSL最新版本。
雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修复,我们正在针对公司旗下其它的网站实施修复。”
谷歌称,“我们对SSL漏洞进行了评估,并已修复谷歌的各款主要服务。”Facebook也表示,它在漏洞公布时已经解决好该问题。
微软发言人则写道,“我们在跟进OpenSSL库问题的报告。要是确定它有对我们的设备与服务造成影响,我们会采取必要的措施来保护我们的用户。”
用户能怎么解决问题?
很遗憾,用户要是访问到采用含漏洞OpenSSL软件的网站,他们并不能保护自己。有问题的网站升级OpenSSL软件之后,用户才能够得到保护。
不过,受影响的网站修复好OpenSSL软件问题后,用户就可以通过更改自己的密码来保护自己。攻击者之前可能已经截取了用户的密码,费尔腾称用户可能无法判断他们的密码是否失窃。
对于依赖OpenSSL的加密工具来说,数据被泄露将面临灾难性的后果,加密社区Tor Project发布博客文章警告用户:“如果你在网上希望匿名或者隐私保护,那么接下来的几天最好还是完全远离互联网吧。”而且,很多情况下,几天的时间根本不够,网站或者服务提供商需要不少时间将其服务器升级修复,一旦在这段时间内服务器密钥被捕获,攻击者可能有足够的时间对网站进行攻击。网站可以对其密钥和证书进行重新设定,但这个过程非常缓慢并且代价昂贵,不少网站可能仅仅选择对服务器进行漏洞修复。上述 ICSI的网络安全研究员尼古拉斯·韦弗怀疑,一年后,很多网站的服务器可能处于非常脆弱的状态,“问题并没有彻底解决。”
苹果、谷歌、微软似乎暂未中枪,一些网络银行服务商似乎也没受到影响,但是一部分雅虎用户数据则在一天之内遭到泄露(一名雅虎发言人称雅虎主站已经得到修复,团队目前正在修复其他雅虎网站)。任何采用了使用OpenSSL协议的Apache或者Nginx软件都会受到影响,很多不少用户常用的网站或者服务都因此中枪。
目前,有几种方法可以鉴别一个网站是否安全,有一家由开发者费力坡·瓦索达(Filippo Valsorda)建立的网站提供检测一家网站是否尚未修复漏洞的方法,但这家网站并不能提供百分之百准确的鉴定结果。所有已被修复的服务器仍需产生新的SSL证书密钥保证攻击者无法利用捕获的密钥进行攻击,因此也可以通过检测某网站密钥的产生日期来判断该网站是否近期被修复。网站重新设定密钥证书需要花费时间和金钱,但是如果不这么做,就很容易被攻击。
目前来看,这场风波会给互联网行业带来什么样的影响还很难说,但是一些教训已经很明显。尽管大量的网站使用OpenSSL,这项开源的协议依然缺乏足够的资金进行发展,不少专家已经开始号召向OpenSSL项目进行捐钱,避免未来再次出现如同“心脏流血”的漏洞。
但是,“心脏流血”带来的最重要的教训,恐怕是要发现网站的漏洞和脆弱性有多困难,一旦漏洞出现的后果又有多严重,尼古拉斯·韦弗表示“这些漏洞都比较隐秘,如果你进行日志检查,你有可能发展,但如果你只是看代码的话,是无法发现的。”“所以这次要感谢谷歌,其检测程序足够严格,发现了这个漏洞,但是对于任何依赖开源安全软件的网址来说,都应该进行反思。”
注:截止美国东部时间4月8号下午3:54,雅虎发布声明称其团队已经将雅虎主要的网站都进行了修复,包括雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技以及Flickr和Tumblr,其余网站的修复还在进行中。