“详解OpenSSL重大漏洞：谁会受影响？怎么处理？”

本篇文章1900字，读完约5分钟

最近宣布，广泛流行的网络加密软件openssl有一个叫heartbleed的严重漏洞，人们的账户密码和信用卡号码等个人新闻有可能被盗。 各大网站都在处理这个问题。 到底怎么回事？ 普通读者会受到影响吗？ 海外媒体最近就这些疑问逐一进行了详细说明。

ssl是保护互联网客户在网络上传输的隐私新闻的通用加密技术。 例如，如果访问安全的网络工作站(如gmail )，则在url的左侧会显示绿色的“锁定”图标。 这意味着与这个网站的通信受到加密保护。 在谷歌浏览器中的情况如下所示

此锁定表示第三方无法读取您发送或接收的新闻。 具体来说，ssl是通过将你的数据转换为只有接收者才能解读的加密新闻来实现的。 如果黑客在监听你的对话，他很快就会看到字符串。 不能看邮件复印件、facebook投稿、信用卡号码等私人新闻。

ssl最早于1994年从网络场景( netscape )开始发售，1990年代以来以各种主要浏览器为对象。 近年来，主流在线服务也倾向于采用这种加密技术。 目前，谷歌、雅虎和脸书默认在家庭网站和在线服务中使用ssl加密技术。

大多数ssl加密网站都基于一个叫做openssl的开源软件包。 周一，研究人员宣布该软件存在导致用户通信拷贝泄露的严重漏洞。 openssl有这样的漏洞，大约两年了。

具体来说，ssl标准包含heartbeat选项，ssl连接端的计算机会发送短消息，确认另一台计算机仍处于网络状态，并得到回复。 据悉，发送伪装的恶意heartbeat新闻，让ssl连接对面的计算机，有可能泄露秘密新闻。 也就是说，计算机将引导传输服务器在内存中的拷贝。

是的。 服务器内存中存储着大量的私人新闻。 普林斯顿大学的计算机科学家埃德·费尔滕( ed felten )指出，采用该技术的攻击者“试图通过模式匹配来整理哪些新闻，找出密钥、密码、信用卡号码等个人新闻”

账户密码、信用卡号码被盗的严重性不言而喻，但密钥被盗更为严重。 密钥是用于翻译收到的加密新闻的服务器工具。 如果攻击者得到了服务器的私钥，就可以读取发送给服务器的新闻。 他也可以用钥匙冒充服务器，让用户泄露账户密码和其他机密新闻。

是codenomicon和谷歌安全所有门的研究者独立发现的。 为了尽量减少因暴露漏洞而造成的损害，研究人员在发布前与openssl团队和其他主要内部人员合作准备了补救方案。

“对知道这个漏洞的人来说，很不容易。 ”费尔滕明确了。 利用这个漏洞的软件在互联网上蔓延，虽然不像ipad应用那么容易使用，但有编程基础的人谁都知道采用方法。

当然，对于具备大规模拦截客户流量条件的情报机构来说，这个漏洞可能最有价值。 美国国家安全局( nsa )与美国电信服务提供商签署了秘密协议，可以访问网络干线。 客户可能认为gmail、facebook等网站上的ssl加密可以保护他们免受监听。 但是，由于heartbleed漏洞，nsa可以获得解密隐私通信所需的私钥。

如果国安局已经在被公众知道之前发现了heartbleed漏洞的存在，也就不足为奇了。 由于openssl是世界上最常用的加密软件，所以nsa的安全专家很可能以前仔细研究过openssl的源代码。

虽然目前没有确切的数据，但发现漏洞的研究者指出，最受欢迎的两个互联网服务器apache和nginx都采用了openssl。 两者加起来，总共复盖了约三分之二的网站。 其他互联网软件(如桌面邮箱客户端和聊天软件)也采用了ssl。

研究人员几天前告知了openssl团队和其他主要利益相关者其脆弱性。 这是因为openssl可以公开漏洞，并发布openssl软件的修复版本。 要消除漏洞，只需要确保网站使用的是openssl的最新版本。

雅虎发言人表示:“我们的团队将访问雅虎各主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎技术、雅虎科技 ”。

谷歌表示:“判断了ssl漏洞，修复了谷歌的主要服务。” facebook也表示，他在漏洞公布时处理了这个问题。

微软发言人说:“我们正在跟进openssl库问题的报告。 一旦发现会影响设备和服务，请采取必要的措施保护客户。 ”。

客户可以如何处理问题？ 很遗憾，如果访问使用包含漏洞的openssl软件的网站，客户将无法保护自己。 在有问题的网站升级openssl软件之前，客户不会受到保护。

但是，一旦受影响的网站修复了openssl软件问题，客户就可以通过更改自己的密码来保护自己。 攻击者可能以前拦截过顾客的密码，但费尔滕表示，顾客可能无法评估密码是否被盗。

来源：成都新闻网