最近有关网络安全漏洞Heartbleed(HB)在几乎是全球的媒体上吵得沸沸扬扬,这究竟是怎么一个漏洞呢?我对此开始并不十分在意,我的有个技术知识也十分有限,因此本文并不能全面分析和解释HB,这里只是我个人的理解以及有关的故事,也许对许多外行人来说有点参考作用。
HB漏洞引起了全球范围用户、安全专家、媒体,甚至政客的密切关注,令人感到意外的是,目前网络安全的实施和标准却落在为数不多的几个开放式软件开发者肩上,这就是OpenSSL。目前许多提供网络服务的公司和政府网站大多都是采用OpenSSL这一平台来处理安全通讯的,比如:Google, Facebook, Dropbox, Yahoo, Flikr,还有许多政府的网站。
OPENSSL的过去和现状
OpenSSL是一个开放式软件平台,该组织是由为数不多的数个志愿软件开发者组成的,该组织的目标是建立一个开放性的网络安全平台和标准,现在该安全库已经有大约三分之二的公司和政府机构采用。该软件获得广泛采用的一个主要原因是开放和免费,许多公司和政府机构没有能力制定自己的安全系统,他们以为将安全系统交托给这些专家们就可以高枕无忧了。而这正是一巨大风险的隐患。
据该组织主席Steven说,OpenSSL过去每年经费从没有超过一百万美元,一般境况是每年两千美元的捐款,以及二十万的对外服务收入。该组织的对外服务主要是来自与公司咨询服务,这些咨询服务大多是救急性质的。
HB在媒体曝光之后,OpenSSL收到的捐款突然上升到九千美元,主要来源是电邮的五到十美金的零散捐款;但是该主席说,这些捐款将不会很快枯竭。
由此可以看出,所谓开放式编码软库的弊端。即使为数不多的出色软件包得到相当大的市场,但是由于其资金来源机制的缺陷,造成软件开发和升级的极大困难。正如该主席所说,他们的团队并不是以金钱来进行这一事业的,但是人力资源缺乏,软件日益复杂,加之他们这些人年龄老化,他们也有退休一日。软件落入谁手将是一未知。
HB缺陷
根据该组织披露的消息,HB是一次软件升级中不小心引入的。那次升级的程序员经验有限,加之软件复查者也没有发现。原意是想提高优化OpenSSL的运行,但是该升级引入一个安全缺陷,可以说是编程的失误,攻击者可以利用这一漏洞通过发送虚假请求而获取网站服务器内存中的用户信息以及安全证书。
对于许多用户来说,这个缺陷将会带来什么安全危险呢?由于HB缺陷是在网站和服务器一方,网站攻击者不是在用户的电脑或手机上获取用户信息;攻击者往往是攻击网站和服务器,从服务方获取用户信息;而网站服务软件和服务器往往是7x27日夜运行;因此内存中的信息都有被窃取的危险。如果用户经常去政府或银行网站进行交易服务,这些用户的信息就有被窃取的可能。正是这一原因,加拿大政府的许多网站宣布进行关闭,这样一是可以进行软件升级,二是清除内存信息。即使如此,还是有不少攻击者对政府网站进行攻击和窃取,比如最近加拿大警察逮捕了一19岁的攻击者,该攻击者成功采用HB窃取了大量用户信息。
网络用户该怎么办?
网络现在已经成为许多人日常一部分,HB安全漏洞经媒体曝光之后,许多人因此十分担心。根据OpenSSL一志愿者,31岁的德国软件开发者,说,HB漏洞实际上可能是两年前的软件升级中引入。HB漏洞只是在最近几周内由Codenomicon公司的程序员发现的,之后很快Google的程序员也验证了这一漏洞。问题是在这两年之中,是否有网络攻击者已经利用该漏洞进行了用户私人信息的偷窃活动?
一般来说,OpenSSL是目前网络最为广泛采用的安全标准,许多专家建议采用这一技术。验证这一技术很简单,一般检查网络地址URL是否采用htpps。可是HB出现之后,https也出现了漏洞,对于用户来说这是十分困难的境地,因为他们无法控制或知晓https的安全性。
有专家建议用户立刻改变密码,但是对于有漏洞的网站来说,更改密码也是徒劳无益的。目前许多专家建议各网站增加其安全的透明性,告诉用户是否采取了补钉措施,是否建议用户更改密码。
无论怎么说,不断更改密码这是一个非常费力费时的工作。HB只是网上安全漏洞的一冰山一角,也许还有许多更为危险和隐蔽的安全漏洞,在电脑和网络世界中,安全漏洞和黑客攻击将是一个持久的战争。
- 评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
-