解析OpenSSL心脏流血最危险的网站安全漏洞

发布时间：2020-03-10 11:06:00 阅读：次来源：磁力锁厂家

A5交易A5任务 SEO诊断淘宝客站长团购

导语：现今最热门的两大网络服务器Apache和nginx都使用OpenSSL。整体来看，这两种服务器约占全球网站总数的三分之二

美国新闻网站Vox周二撰文，对当天公布的OpenSSL心脏流血漏洞进行了全面解读。

以下为文章全文：

什么是SSL?

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问等安全网站时，就会在URL地址旁看到一个锁，表明你在该网站上的通讯信息都被加密。

这个锁表明，第三方没法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话，也只能看到一串随机字符串，而没法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

SSL最早在1994年由网景推出，1990年代以来已被所有主流浏览器采用。最近几年，很多大型网络服务都已默许利用这项技术加密数据。如今，谷歌、雅虎和Facebook都在使用SSL默许对其网站和网络服务进行加密。

什么是心脏出血漏洞?

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能致使用户的通讯信息暴露给监听者。OpenSSL大约两年前就已存在这1缺点。

工作原理：SSL标准包括一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另外一端的电脑依然在线，并获得反馈。研究人员发现，可以通过奇妙的手段发出歹意心跳信息，欺骗另外一端的电脑泄漏机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

该漏洞的影响大不大?

很大，由于有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德菲尔腾(Ed Felten)表示，使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，和信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大，相信已不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获得了服务器的私钥，便可读取其收到的任何信息，乃至能够利用密钥假冒服务器，欺骗用户泄漏密码和其他敏感信息。

谁发现的这个问题?

该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低，研究人员已与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已准备好修复方案。

谁能利用心脏流血漏洞?

对了解这项漏洞的人，要对其加以利用其实不困难。菲尔腾说。利用这项漏洞的软件在网上有很多，虽然这些软件并不像iPad运用那末容易使用，但任何具有基本编程技能的人都能学会它的使用方法。

固然，这项漏洞对情报机构的价值也许最大，他们具有足够的基础设施来对用户流量展开大规模拦截。我们知道，美国国家安全局(以下简称NSA)已与美国电信运营商签订了秘密协议，可以进入到互联网的骨干网中。用户也许认为，Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听，但NSA 却可以借助心脏流血漏洞获得解密通讯信息的私钥。

虽然现在还不能肯定，但如果NSA在心脏流血漏洞公之于众前就已发现这1漏洞，也其实不出人意料。OpenSSL是现今运用最广泛的加密软件之一，所以可以肯定的是，NSA的安全专家已非常细致地研究过它的源代码。

有多少网站遭到影响?

目前还没有具体的统计数据，但发现该漏洞的研究人员指出，现今最热门的两大网络服务器Apache和nginx都使用OpenSSL。整体来看，这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中，比如桌面电子邮件客户端和聊天软件。

发现该漏洞的研究人员几天前就已通知OpenSSL团队和重要的利益相干者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题，各大网站需要尽快安装最新版OpenSSL。

雅虎发言人表示：我们的团队已在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施，我们目前正在努力为旗下的其他网站部署修复措施。

谷歌表示：我们已评估了SSL漏洞，并且给谷歌的关键服务打上了补钉。Facebook称，在该漏洞公然时，该公司已解决了这1问题。

微软发言人也表示：我们正在关注OpenSSL问题的报导。如果确切对我们的装备和服务有影响，我们会采取必要措施保护用户。

用户应当如何应对该问题?

不幸的是，如果访问了受影响的网站，用户没法采取任何自保措施。受影响的网站的管理员需要升级软件，才能为用户提供适当的保护。

不过，一旦受影响的网站修复了这1问题，用户便可以通过修改密码来保护自己。攻击者也许已拦截了用户的密码，但用户没法知道自己的密码是不是已被他人盗取。(书聿)