专家解读网络安全漏洞“心脏出血”:威胁暂难消
2014年04月23日
作者:彭科峰
来源:中国科学报
专家解读网络安全漏洞“心脏出血”:威胁暂难消
■本报记者 彭科峰
回放:
日前,网络安全协议OpenSSL被曝光存在安全漏洞(被称为“心脏出血”)。由于该协议常用于电商、网银等安全要求极高的网站,用户访问了受此安全漏洞影响的网站,将无法采取任何自保措施,用户的银行账号、密码等数据将可能被黑客获取。
发现该漏洞的安全公司Codenomicon和谷歌公司的安全工程师表示,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL,这两种服务器约占全球网站总数的三分之二。
据报道,支付宝、淘宝网、360应用、微信公众号、QQ邮箱、微信网页版、12306铁路客服中心等网站均存在此漏洞。消息曝光后,国内大多数网站在3天内均宣布修复完毕。
疑问:
OpenSSL到底存在什么样的安全漏洞?黑客如何利用这一漏洞获取用户信息?用户该如何防范?
解答:
“OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,在各大网银、在线支付、电商网站、门户网站、电子邮件等许多重要网站上广泛使用。此次的‘心脏出血’事件,影响非常大,短期内难以消除其产生的威胁。”近日,信息安全国家重点实验室常务副主任林东岱告诉《中国科学报》记者。
他进一步表示,具体来说,用户在使用电脑连入互联网访问某个网站时,需要进行验证才能实现“握手”,OpenSSL正是起到这样的功能。此外,开发者为方便他人,将OpenSSL整理成一个代码库,对外界开发源代码。在这样的情况下,任何人都能利用这些代码开发程序和软件。此次发现的漏洞英文为“heartbleed”,“不是OpenSSL有什么问题,而是这个‘heartbleed’代码出了问题”。
那么,“heartbleed”代码究竟是怎样被黑客利用的呢?林东岱介绍说,这一代码是用来测验网络连接是否畅通的代码,在用户试图连入某个网站时,电脑会通过这个代码向对方网站发出测试信号,查看通讯渠道是否畅通。对方网站会通过该代码返回一些程序给用户电脑。在这个信息返回的过程中,可能会有一些对方网站储存在内存中的其他信息返回给用户。这些信息包括其他访问该网站的用户的账号、密码等很多不该被返回的信息。在这样的情况下,黑客可远程读取该网站服务器的随机64k内存,从而获取他人的隐私。
普通用户如何识别自己访问的网站是否存在“心脏出血”漏洞呢?林东岱认为,简单来说,网民可以查看网站应用是否采用SSL加密,即留意浏览器地址栏是http://还是https://,一般以https://访问的网站就是用SSL加密的。事实上,采用OpenSSL安全协议的,通常是非常关键的网络服务,比如网络邮箱、支付、银行等。
360网站卫士工程师董方向《中国科学报》记者介绍说,经过进一步分析,他们发现OpenSSL漏洞不仅影响https开头的网址,还影响到间接使用了OpenSSL代码的产品和服务,比如VPN、邮件系统、FTP工具等产品和服务,甚至涉及到其他一些安全设施的源代码。“可以说,OpenSSL漏洞的危害远远超乎人们的想象,其后遗症也将持续很长一段时间。”
对于董方的分析,林东岱表示认可。“从表面来看,这些涉及到该漏洞的网站,只要安装相应的安全补丁就可以了。但实际上,‘心脏出血’漏洞引发的后续效应不可能在短期内解决。”
他分析说,这是由于OpenSSL代码库的开源性造成的。“因为是开源的,所以很多开发者会利用它的代码来开发其他很多别的软件,一般网友识别不出来。而这些软件也可能存在这样的漏洞,需要开发者逐一查证和补漏。这是一项非常浩大的工程。”
林东岱建议,针对这一网络安全事故,网民应加强对个人隐私的保护,尽量避免将账号、密码等储存在服务器的内存中。
《中国科学报》 (2014-04-23 第4版 综合)