【大紀元2014年04月10日訊】(大紀元記者王和綜合報導)儘管很多普通互聯網用戶並未察覺,但從這個星期一開始,互聯網正經歷一場「大地震」,因為這一天谷歌的研究人員和芬蘭一家安全公司Codenomicon宣佈發現了被視為互聯網安全通訊基礎的SSL(安全套接層)安全協議出現了巨大的安全裂痕,被超過2/3網站用來實現這一協議軟件的開源軟件OpenSSL存在一個漏洞,這個漏洞讓攻擊者可以竊取用戶以為加密傳輸的用戶名、密碼、信用卡號等敏感信息。
要理解這個被稱為Heartbleed(中文暫譯「心臟出血」,這一漏洞的確可以被認為這直接擊中互聯網的核心)的漏洞為何引發這麼大的關注,需要首先清楚什麼是SSL協議,這一協議又為何對互聯網安全如此重要。
何為SSL?它為何如此重要?
即使非「技術控」的普通互聯網用戶也知道如果要在造訪的網站輸入敏感的個人信息,特別是個人金融信息,比如在購物網站上輸入個人的信用卡號的時候,需要留意這個網站是否被加密,而加密的標誌就是瀏覽器特定位置一個鎖緊的鎖頭標誌。
這個鎖頭意味著用戶在這個網頁上輸入的任何信息都是經過一種複雜的SSL/TSL方式進行加密傳輸,只有發送者和發送者意圖發送給的服務器可以看到這些信息。
這一點非常重要,因為互聯網開放的架構,用戶發送的任何信息都要經過很多網絡上不同的節點(服務器)進行接力傳輸,因此一個從美國用戶發給美國服務器的信息被在中國的服務器中轉並非什麼奇事。
要保證這些信息不被「有心人士」偷窺就要保證這些信息是加密的——當然SSL還有其它技術層面的東西來確保傳輸信息的可靠性,並非簡單地加密。但簡單地講,SSL可以被理解為互聯網上通用的「鎖頭」,所有的加密通訊都會使用到這把「鎖頭」,可以被稱為互聯網上互信的「基石」。
漏洞為何讓互聯網「心臟」出血?
而星期一公佈的漏洞意味著這個被幾乎所有互聯網用戶所信任的「鎖頭」本身是不可靠的。當然並非所有的鎖頭都不可靠,而是其中特定「鎖匠」——OpenSSL軟件——所製造的「鎖頭」不可靠。但問題是據信互聯網上2/3的服務器是使用通過這個軟件製造的鎖頭。
要全部理解這個漏洞顯然不涉及技術細節是不可能的,但大致來說就是這個軟件的最新版本(和通常漏洞涉及舊版本不同!)出現了一個微小但致命的編程漏洞,這個漏洞涉及一個被稱為「心跳」(Heartbeat)的「擴展」,而漏洞讓攻擊者讓每次「心跳」後可以讀取服務器一定數量的內存,隨著一次次的「心跳」,服務器最核心的內存信息就像「流血」(bleeding)一樣被攻擊者「吸走」,這也是這個漏洞名字的由來。
形象地說,就好像本來其他人送來的「加密包裹」應該關上門在不被別人打開的情況下開包檢查,但這個漏洞打開了一扇不為主人所知的窗口,讓外人可以一窺包裹中的內容,同時外人也可以看到主人打開這個包裹的鑰匙,這意味著未來「偷窺者」不必每次在主人門口偷看(次數多了容易引起注意),而是在中間過程(記住這個包裹要經過很多地方)把包裹截取下來——在數字世界裡面,相當於把包裹「複製」一份,然後自己不慌不忙地打開來看。
問題有多嚴重?如何應對?
首先一點,別被2/3服務器使用問題軟件這個數字嚇到,使用OpenSSL的更傾向於是獨立和小型的網站,有「好事者」在漏洞被公佈後的4月8日美東時間下午4時對在互聯網排名網站Alex所列出的全球1,000個最大的網站進行測試,發現只有48家網站受到影響,440家網站並不存在這個漏洞(當然不排除他們在第一時間修補漏洞的可能)。
值得「慶幸」的是中國大陸的網站(諸如百度、QQ、淘寶等)這次表現優異,基本全部不受影響,但其原因是他們根本就不提供SSL加密服務——用戶信息本來就是明文傳輸。
在為數不多受到影響的大網站中,雅虎(Yahoo.com)無疑是最出名的,這家公司近期頻頻在網絡安全議題上被負面聚焦,該公司旗下的著名圖片分享網站flickr.com也受到漏洞的影響。不過該公司隨後聲明已經對主要的服務進行了緊急修補。互聯網流量排名前三名的谷歌(google.com)、臉書(facebook.com)和Youtube.com均在上述測試中過關。
但考慮到這一漏洞其實已經存在了至少兩年(從2012年3月openSSL發佈新版本後),目前的測試結果對過去兩年中漏洞是否被黑客利用並無太大參考價值。目前還沒有發現有這一漏洞已經被利用的跡象——如果有人通過這一漏洞大規模的竊取個人密碼信息,可能會有很多關於自己銀行帳戶被「清空」的消息。
但安全專家警告個人錢財沒有失竊並不意味著漏洞沒有被發現或利用,因為有一群攻擊者他們關注的不是某人銀行帳戶的錢財,而是更加敏感的信息,他們就是各個國家的情報部門,對於這些部門來說,他們最希望的是這個漏洞永遠不要被發現。
總部在波士頓的互聯網安全公司Rapid7的全球安全戰略專家Trey Ford表示對於諸如美國國安局和中共國家安全部這些部門是否已經在利用這個漏洞進行情報收集這個問題,除非他們自己出面承認,否則外界基本上是無法給出確定的答案的。
Ford表示Heartbleed漏洞的一個危險之處在於攻擊者不會在服務器上留下任何痕跡,因此如果有人發動了攻擊,甚至無法證實攻擊發生了。因此目前唯一能做的是對受影響的服務器盡快打「補丁」,同時重新生成密鑰(這些密鑰可能已經在不知名的地方被儲存著),而作為用戶需要做的是更換所有的密碼,至少是對那些傳輸和儲存自己財務信息的網站,但前提是服務器必須預先打好補丁。
心臟出血漏洞對普通用戶影響
針對「心臟出血」漏洞的影響,各大媒體對一些常見問題進行了總結和解答,下面選譯了一些和普通用戶比較相關的內容。
問:我計劃近期在網上報稅,考慮到這會涉及到如此多的個人信息,這是否安全?
答:美國國稅局(IRS)星期三公佈了一個聲明,表示該機構未受到「心臟出血」漏洞的影響,並稱鼓勵民眾繼續和平常一樣在4月15日截止日之前抓緊報稅。
不過加拿大國稅局(CRA)在星期三表示出於對「心臟出血」漏洞的考慮已經對外關閉了其電子報稅的服務器,加拿大報稅的截止日期是4月底。該機構表示正在努力盡快恢復服務,並表示會對因此而受到影響的報稅人作出酌情考量。
問:我該如何應對這一漏洞?
答:作為普通用戶基本上沒有太多可以做的,但安全專家建議在未來幾天的時間內避免登陸在線購物、銀行網站和其它需要輸入敏感數據,如姓名、地址、信用卡號等的網站。如果需要,最好預先確認相關網站已經修補這一漏洞。全球最大的購物網站亞馬遜(Amazon.com)已經表示其網站不受這一漏洞影響。安全專家建議普通用戶不要大意,因為SSL在現代互聯網上的重要作用,修補這一漏洞涉及的面非常廣,也相當複雜,並非簡單地打一個安全補丁這麼簡單,很多網站可能要經過很長時間才能徹底解決相關的問題。
問:我的手機、電腦等設備是否需要打「補丁」?
答:簡單地說,如果你只是使用你的設備瀏覽互聯網,你不需要在自己的設備上進行任何操作,受影響的軟件OpenSSL只是安裝在你所訪問的服務器上。所以你能做的就是靜靜地等待服務器那裡修補這一漏洞,並在這之後修改你的密碼。
當然,如果你的手機和設備上運行了一些依賴SSL協議的應用,一個比較普遍的例子是用來連接公司內部網絡的VPN(虛擬專屬網絡)客戶端,則你可能需要進行更新,以免本應加密的信息被截取,一些應用已經開始發佈修補漏洞的更新。
問:在哪些網站上我需要更新密碼?
答:安全專家的建議是對所有網站進行更新,但一些最著名的公司已經對外作出安全「保證」,他們的用戶無需更換密碼。其中包括谷歌,該公司發言人對路透社說:「我們已經提前修補了這個漏洞,因此谷歌用戶不必更改密碼」。
亞馬遜的發言人僅表示Amazon.com不受影響,但拒絕給出更多細節。不過雅虎已經呼籲所有使用其服務的用戶更新他們密碼。其它被證實受影響的知名網站包括圖片分享網站imgur.com和flickr.com。
互聯網陷「亂局」 國家黑客在行動
在各大公司的IT專家忙於修補「心臟出血」之際,互聯網安全專家發現包括國家資助的黑客團體在內,不少人已經開始大規模地在互聯網上尋找存在安全漏洞的服務器。
據路透社報導,殺毒軟件公司卡巴斯基(Kaspersky)的研究者Kurt Baumgartner表示,他們星期一已經發現一些據信涉及「國家資助」的網絡間諜行動的黑客團體正在使用自動工具對互聯網進行大規模的「掃瞄」,以期發現那些有漏洞的服務器。
卡巴斯基並未透露他們所發現的這些「國家資助」黑客團體的細節,不過,去年2月19日美國電腦網絡安全公司Mandiant曝光駐紮上海浦東的中共61398部隊發動了針對美國企業的攻擊,給出了中共當局以國家力量資助針對企業的黑客行為的明確證據。
這種掃瞄在關於這個漏洞公佈後不久就已經開始浮出水面,而到星期二的時候已經有數十個這類「團體」在進行這種掃瞄,而到了星期三,在Rapid7公司發佈了一個免費的掃瞄工具後,這類掃瞄的數量激增。
Baumgartner表示,現在是「全民皆兵」的時刻,誰都可以尋找有漏洞的服務器,並試圖利用它。儘管目前已經出現了自動搜索有漏洞的服務器的工具,但尚未發現有公開的利用這一漏洞的工具,但依照以往的經驗,這類工具很快就會出現。
不過普通用戶千萬不要為了「嚐鮮」而利用這些工具,一方面竊取他人信息違法,另外一方面網上所出現的所謂工具很可能本身就被夾帶了「私貨」,可能會竊取你本身的信息,讓「木馬屠城」的悲劇在你的電腦設備上上演。
(責任編輯:李緣)
