盘点2014关键词八:心脏出血—脆弱互联网全球升级
心脏出血漏洞事件再次显示出了网络安全的脆弱性,更留待我们思考,是否该转变互联网的安全防护措施。
2014年4月8日,互联网常用的开源加密库OpenSSL被曝出存在一个安全漏洞,可以导致攻击者获取原本应该加密的明文敏感信息,漏洞的发现者将这个漏洞命名为“Heartbleed”,中文直译就是心脏出血。漏洞被公布后不久,心脏出血四个字就迅速成为各大媒体关注的热点,甚至于新闻联播也首次将一个漏洞作为独立的新闻来播报,这在此之前是从未出现过的。
漏洞危害
这个被业内称为2014年度最重大的安全漏洞到底是什么样的呢,为何会引起大家如此高的关注?它又有哪些危害?其实根本原因就是基础的安全通信方式出了问题。
OpenSSL的“心跳模块”存在一个漏洞,可以让攻击者直接获取服务器上64K内存中的数据内容。由于内存中存储的是未加密的明文信息,因此该漏洞可能导致用户使用加密业务过程中那些原本应该加密的信息(如用户名及密码、Cookie信息、银行账号等)直接以明文的形式被攻击者获取,这也是为什么这个漏洞引起大家关注的主要原因。虽然攻击者每次只能获取64K的信息,但是如果其以程序轮询的方式则可以获得大量的信息,由于这些操作都是在内存中完成的,所以利用漏洞的攻击很难体现在日志等记录中,也就很难被发现。
据透露,其实OpenSSL加密代码中的Heartbleed漏洞已存在两年之久,而三分之二活跃的网站都在使用该存在缺陷的加密协议。比如我们经常访问的支付宝、淘宝、微信公众号、网银、门户等各种网站,基本上都已中招。而在国外,受到波及的网站也数不胜数,如雅虎、Imgur、FBI甚至是NASA(美国航空航天局),用户数据库都遭到了泄露。
解决之道
如何解决OpenSSL心脏出血漏洞带来的潜在威胁,以避免隐私数据被泄露呢?厂商目前已经在OpenSSL1.0.1g版本
中修补了该漏洞,那么提供相关加密服务的管理员应该保证自己服务程序中所使用的OpenSSL要升级到最新版本。
对于普通用户来说,“心脏出血”漏洞并不涉及普通用户自用的计算机,用户无法自行修补该漏洞,只要登录了受影响的网站,如果该网站不进行修复,那么更改的新密码依然会受到威胁。因此,访问HTTPS这类加密服务时应该选择一些大型的可信任的网站,并定期更改自己的用户密码。在确认网站安全之前,最好不要使用网银、电子支付和电商购物等功能,以免数据正好被黑客捕获。
心脏出血漏洞事件再次显示出了网络安全的脆弱性,更留待我们思考,是否该转变互联网的安全防护措施。许多安全方面专家认为,是时候将全局加密保护运用到整个网络了。这意味着用户即使是上网看新闻或是订外送都会受到安全保护。但是,这一说法目前还存在争议,并且全网都开始使用HTTPS协议还有些不现实,但是至少应该有越来越多的网站应默认使用HTTPS协议。