安全協(xié)議OpenSSL今日爆出本年度最嚴重的安全漏洞。此漏洞在黑客社區(qū)中被命名為“心臟出血”，利用該漏洞，黑客坐在自己家里電腦前，就可以實時獲取到用戶登錄賬號密碼，或欺騙用戶訪問釣魚網(wǎng)站。

　　OpenSSL是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，目前正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用。美國新聞網(wǎng)站Vox撰文，對當天公布的OpenSSL“心臟流血”漏洞進行了全面解讀。以下為文章全文：

　　什么是SSL？

　　SSL是一種流行的加密技術(shù)，可以保護用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。當用戶訪問Gmail.com等安全網(wǎng)站時，就會在URL地址旁看到一個“鎖”，表明你在該網(wǎng)站上的通訊信息都被加密。

　　這個“鎖”表明，第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺，通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對話，也只能看到一串隨機字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內(nèi)容。

　　SSL最早在1994年由網(wǎng)景推出，1990年代以來已經(jīng)被所有主流瀏覽器采納。最近幾年，很多大型網(wǎng)絡服務都已經(jīng)默認利用這項技術(shù)加密數(shù)據(jù)。如今，谷歌、雅虎和Facebook都在使用SSL默認對其網(wǎng)站和網(wǎng)絡服務進行加密。

　　什么是“心臟出血”漏洞？

　　多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包。本周一，研究人員宣布這款軟件存在嚴重漏洞，可能導致用戶的通訊信息暴露給監(jiān)聽者。OpenSSL大約兩年前就已經(jīng)存在這一缺陷。

　　工作原理：SSL標準包含一個心跳選項，允許SSL連接一端的電腦發(fā)出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。研究人員發(fā)現(xiàn)，可以通過巧妙的手段發(fā)出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，并發(fā)送服務器內(nèi)存中的信息。

　　該漏洞的影響大不大？

　　很大，因為有很多隱私信息都存儲在服務器內(nèi)存中。普林斯頓大學計算機科學家艾德·菲爾騰(Ed Felten)表示，使用這項技術(shù)的攻擊者可以通過模式匹配對信息進行分類整理，從而找出密鑰、密碼，以及信用卡號等個人信息。

　　丟失了信用卡號和密碼的危害有多大，相信已經(jīng)不言而喻。但密鑰被盜的后果可能更加嚴重。這是是信息服務器用于整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰，便可讀取其收到的任何信息，甚至能夠利用密鑰假冒服務器，欺騙用戶泄露密碼和其他敏感信息。

　　誰發(fā)現(xiàn)的這個問題？

　　該漏洞是由Codenomicon和谷歌安全部門的研究人員獨立發(fā)現(xiàn)的。為了將影響降到最低，研究人員已經(jīng)與OpenSSL團隊和其他關(guān)鍵的內(nèi)部人士展開了合作，在公布該問題前就已經(jīng)準備好修復方案。

　　誰能利用“心臟流血”漏洞？

　　“對于了解這項漏洞的人，要對其加以利用并不困難�！狈茽栻v說。利用這項漏洞的軟件在網(wǎng)上有很多，雖然這些軟件并不像iPad應用那么容易使用，但任何擁有基本編程技能的人都能學會它的使用方法。

　　當然，這項漏洞對情報機構(gòu)的價值或許最大，他們擁有足夠的基礎(chǔ)設(shè)施來對用戶流量展開大規(guī)模攔截。我們知道，美國國家安全局(以下簡稱“NSA”)已經(jīng)與美國電信運營商簽訂了秘密協(xié)議，可以進入到互聯(lián)網(wǎng)的骨干網(wǎng)中。用戶或許認為，Gmail和Facebook等網(wǎng)站上的SSL加密技術(shù)可以保護他們不受監(jiān)聽，但NSA 卻可以借助“心臟流血”漏洞獲取解密通訊信息的私鑰。

　　雖然現(xiàn)在還不能確定，但如果NSA在“心臟流血”漏洞公之于眾前就已經(jīng)發(fā)現(xiàn)這一漏洞，也并不出人意料。OpenSSL是當今應用最廣泛的加密軟件之一，所以可以肯定的是，NSA的安全專家已經(jīng)非常細致地研究過它的源代碼。

　　有多少網(wǎng)站受到影響？

　　目前還沒有具體的統(tǒng)計數(shù)據(jù)，但發(fā)現(xiàn)該漏洞的研究人員指出，當今最熱門的兩大網(wǎng)絡服務器Apache和nginx都使用OpenSSL�？傮w來看，這兩種服務器約占全球網(wǎng)站總數(shù)的三分之二。SSL還被用在其他互聯(lián)網(wǎng)軟件中，比如桌面電子郵件客戶端和聊天軟件。

　　發(fā)現(xiàn)該漏洞的研究人員幾天前就已經(jīng)通知OpenSSL團隊和重要的利益相關(guān)者。這讓OpenSSL得以在漏洞公布當天就發(fā)布了修復版本。為了解決該問題，各大網(wǎng)站需要盡快安裝最新版OpenSSL。

　　雅虎發(fā)言人表示：“我們的團隊已經(jīng)在雅虎的主要資產(chǎn)中(包括雅虎主頁、雅虎搜索、雅虎電郵、雅虎財經(jīng)、雅虎體育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了適當?shù)男迯痛胧�，我們目前正在努力為旗下的其他網(wǎng)站部署修復措施�！�

　　谷歌表示：“我們已經(jīng)評估了SSL漏洞，并且給谷歌的關(guān)鍵服務打上了補丁�！盕acebook稱，在該漏洞公開時，該公司已經(jīng)解決了這一問題。

　　微軟發(fā)言人也表示：“我們正在關(guān)注OpenSSL問題的報道。如果確實對我們的設(shè)備和服務有影響，我們會采取必要措施保護用戶�！�

　　用戶應當如何應對該問題？

　　不幸的是，如果訪問了受影響的網(wǎng)站，用戶無法采取任何自保措施。受影響的網(wǎng)站的管理員需要升級軟件，才能為用戶提供適當?shù)谋Ｗo。

　　不過，一旦受影響的網(wǎng)站修復了這一問題，用戶便可以通過修改密碼來保護自己。攻擊者或許已經(jīng)攔截了用戶的密碼，但用戶無法知道自己的密碼是否已被他人竊取。

本篇章由海騰數(shù)據(jù)http://apistockmarket.com提供。網(wǎng)站關(guān)鍵詞：服務器租用| VPS主機 |服務器托管| 服務器租用價格 |電信服務器租用| 網(wǎng)通服務器租用