在網絡無處不在的二十一世紀,不少人每天都在使用着各種各樣的網絡技術提供給用戶的服務,包括郵件,社交網站,銀行,政府部門等,人們在私人信息輸入到網絡里的時候,可能已經忘記了網絡可能存在的安全問題,個人資料可能落入別有用心的網絡攻擊者手中,從而讓使用網絡成為一個噩夢。
4月8號這一天,就爆出了一個震驚世界的的消息,證實一向被認為是最安全的網絡上出現了一個漏洞,大家突然發現在過去的兩年中,不少網絡一直處於十分不安全的狀態中。而這次的網絡安全問題並不是由駭客高手炮製出來的,而是網絡安全公司的編程員在編程的過程中產生的漏洞導致。這個互聯網史上最大的色網絡漏洞的發現過程也是完全出於偶然,是安全公司Codenomicon的工程師安蒂•卡加萊和谷歌安全研究人員在正常的工作時,無意中發現的。漏洞在發現之初被標識為“CVE-2014-0160“,但隨後就獲得了 Heartbleed(心臟流血)的稱號,並擁有了一顆正在流血的心的標示圖案,形象地表達了通過這個漏洞,網絡內存里用戶的重要信息會像血一樣流出來。
Heartbleed漏洞被認為對廣泛流行的開源OpenSSL軟件包造成了嚴重威脅,其衍生的危害是獨一無二,前所未有的。主要原因是這個漏洞可以誘使服務器將其內存中的數據泄露出來,從而可能讓黑客掌握這一漏洞,並進一步竊取諸如信用卡和密碼等之類的敏感信息。從開源OpenSSL項目中爆出的漏洞讓攻擊者可以在多種加密傳輸的網絡數據中竊取用戶信息,而由於OpenSSL被廣泛使用在Web服務器、郵件協議、通訊協議中,所以一時間受影響的用戶數量難以估計。雖然世界上各大重要的網站紛紛表示已經採取了修補措施,但目前為止還難以估計其後果。
因此Heartbleed漏洞的消息一旦爆出,在網絡上引發了激烈的討論和恐慌,各大網站也紛紛建議用戶更改密碼。
實際上,這一網絡噩夢的產生也頗具戲劇性和偶然性,漏洞“始作俑者”被認為是OpenSSL德國程序員羅賓 ∙塞格拉曼(Robin Seggelman),他於2011年新年前夕向OpenSSL項目遞交了一系列網絡錯誤修正和新增功能,其中一項包含着未對長度變量進行驗證的程序錯誤,不幸的是,代碼審查者在審查代碼時也沒有注意到這個錯誤,錯誤程序隨後就被包含在了新版OpenSSL中。因此,代碼最終從開發者手中到了加密軟件里。這名德國軟件開發員否認這個安全漏洞是精心安排的,他承認OpenSSL中的這個錯誤是“不起眼的”,但影響卻“十分嚴重。
美國密碼學學者、資訊安全專家與與家布魯斯∙施耐德在他的博客上對Heatbleed漏洞造成的影響做了這樣的表述,他說:“本質上,一個黑客一次可以從一台服務器抓取到64Kb內存。但這種攻擊不留痕跡,而且可以重複多次。這意味着內存中 的任何信息,包括SSL密碼,用戶密碼都不安全。 而且你必須假設一切信息都被偷取了。所以這是災難性的。如果要從1到10來評級的話,可以將此評為11級。”這個說法雖然有點危言聳聽,但將Heartbleed漏洞可能導致的嚴重後果形象地表達了出來。
雖然64kb數據聽上去並不大,但從網上放出的圖片中我們可以看到其中已經足夠包含用戶名、用戶密碼以及個人信息在內的諸多敏感信息。對應到中國國內像微信公眾號、微信網頁版、淘寶等都網絡服務受到了影響。而估計,從有漏洞的軟件上市後,2012年到2014年期間,世界上2/3的網站都受到影響,包括社交網站,銀行和網上購物等超過50萬個網站。
作為修復手段,目前OpenSSL官方已經放出修復版本,許多網站都在第一時間修復了這個安全漏洞,包括國外普遍使用的社交網站Facebook,YouTube,Instagram。用戶也可以用檢查器來查看自己喜愛的網絡服務是否仍然存在這個漏洞,一旦這些公司修復好漏洞,建議大家最好更換一下你的服務密碼。此外,對於心存疑慮的用戶,網絡上也有開發者提供了在線漏洞檢測工具,用戶可以登錄Filippo來檢測自己訪問的網站是否安全。
不過,雖然出問題的服務商正在逐步修復自家的服務,修復版的OpenSSL也已經放出,但問題並沒有被完全被解決 由於利用Heartbleed 漏洞攻擊不會留下任何信息,所以大多數服務商都無法統計到底有多少用戶數據被竊取,這自然也就為接下來的防護工作帶來了麻煩。對於用戶來說,如果你在漏洞爆發期間登錄了一些使用加密服務的站點並且輸入了個人重要信息,那麼為了安全起見最好還是自行修改一下賬戶信息。