OpenSSL曝重大漏洞 可導致密碼被盜

【TechWeb報導】4月9日消息，今日安全協定OpenSSL被爆出現嚴重安全性漏洞，該安全性漏洞被稱為Heartbleed。 漏洞被爆出可能會導致人們的帳號密碼、信用卡號碼等個人資訊失竊。 OpenSSL曝重大漏洞 可導致密碼被盜（TechWeb配圖）據瞭解，OpenSSL存在的缺陷在於，使用某些最新OpenSSL版本的Web伺服器會存儲一些不受記憶體保護的資料。 駭客可以獲取這些資料，重建有關使用者或金鑰的資訊，獲取使用者的加密資料。 OpenSSL漏洞的消息一出，許多網站措手不及，未能及時採取補救措施針對OpenSSL出現的問題，美國新聞網站Vox撰文，對Heartbleed漏洞進行了全面解讀。 其中包括：什麼是SSL？ SSL是一種流行的加密技術，可以保護使用者通過互聯網傳輸的隱私資訊。 當使用者訪問Gmail.com等安全網站時，就會在URL位址旁看到一個鎖，表明你在該網站上的通訊資訊都被加密。 這個鎖表明，協力廠商無法讀取你與該網站之間的任何通訊資訊。 在後臺，通過SSL加密的資料只有接收者才能解密。 如果不法分子監聽了使用者的對話，也只能看到一串隨機字串，而無法瞭解電子郵件、Facebook帖子、信用卡帳號或其他隱私資訊的具體內容。 SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器採納。 最近幾年，很多大型網路服務都已經預設利用這項技術加密資料。 如今，谷歌、雅虎和Facebook都在使用SSL預設對其網站和網路服務進行加密。 什麼是心臟出血漏洞？ 多數SSL加密的網站都使用名為OpenSSL的開源套裝軟體。 本週一，研究人員宣佈這款軟體存在嚴重漏洞，可能導致使用者的通訊資訊暴露給監聽者。 OpenSSL大約兩年前就已經存在這一缺陷。 工作原理：SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的資訊，確認另一端的電腦仍然線上，並獲取回饋。 研究人員發現，可以通過巧妙的手段發出惡意心跳資訊，欺騙另一端的電腦洩露機密資訊。 受影響的電腦可能會因此而被騙，併發送伺服器記憶體中的資訊。 該漏洞的影響大不大？ 很大，因為有很多隱私資訊都存儲在伺服器記憶體中。 普林斯頓大學電腦科學家艾德·菲爾騰(Ed Felten)表示，使用這項技術的攻擊者可以通過模式匹配對資訊進行分類整理，從而找出金鑰、密碼，以及信用卡號等個人資訊。 丟失了信用卡號和密碼的危害有多大，相信已經不言而喻。 但金鑰被盜的後果可能更加嚴重。 這是是資訊伺服器用於整理加密資訊的一組代碼。 如果攻擊者獲取了伺服器的私密金鑰，便可讀取其收到的任何資訊，甚至能夠利用金鑰假冒伺服器，欺騙使用者洩露密碼和其他敏感資訊。