最近有關網絡安全漏洞Heartbleed(HB)在幾乎是全球的媒體上吵得沸沸揚揚,這究竟是怎麼一個漏洞呢?我對此開始並不十分在意,我的有個技術知識也十分有限,因此本文並不能全面分析和解釋HB,這裡只是我個人的理解以及有關的故事,也許對許多外行人來說有點參考作用。
HB漏洞引起了全球範圍用戶、安全專家、媒體,甚至政客的密切關注,令人感到意外的是,目前網絡安全的實施和標準卻落在為數不多的幾個開放式軟件開發者肩上,這就是OpenSSL。目前許多提供網絡服務的公司和政府網站大多都是採用OpenSSL這一平台來處理安全通訊的,比如:Google, Facebook, Dropbox, Yahoo, Flikr,還有許多政府的網站。
OpenSSL的過去和現狀
OpenSSL是一個開放式軟件平台,該組織是由為數不多的數個志願軟件開發者組成的,該組織的目標是建立一個開放性的網絡安全平台和標準,現在該安全庫已經有大約三分之二的公司和政府機構採用。該軟件獲得廣泛採用的一個主要原因是開放和免費,許多公司和政府機構沒有能力製定自己的安全系統,他們以為將安全系統交托給這些專家們就可以高枕無憂了。而這正是一巨大風險的隱患。
據該組織主席Steven說,OpenSSL過去每年經費從沒有超過一百萬美元,一般境況是每年兩千美元的捐款,以及二十萬的對外服務收入。該組織的對外服務主要是來自與公司咨詢服務,這些咨詢服務大多是救急性質的。
HB在媒體曝光之後,OpenSSL收到的捐款突然上昇到九千美元,主要來源是電郵的五到十美金的零散捐款;但是該主席說,這些捐款將不會很快枯竭。
由此可以看出,所謂開放式編碼軟庫的弊端。即使為數不多的出色軟件包得到相當大的市場,但是由於其資金來源機制的缺陷,造成軟件開發和升級的極大困難。正如該主席所說,他們的團隊並不是以金錢來進行這一事業的,但是人力資源缺乏,軟件日益複雜,加之他們這些人年齡老化,他們也有退休一日。軟件落入誰手將是一未知。
HB缺陷
根據該組織披露的消息,HB是一次軟件更新中不小心引入的。那次更新的程序員經驗有限,加之軟件複查者也沒有發現。原意是想提高優化OpenSSL的運行,但是該更新引入一個安全缺陷,可以說是編程的失誤,攻擊者可以利用這一漏洞通過發送虛假請求而獲取網站服務器內存中的用戶信息以及安全證書。
對於許多用戶來說,這個缺陷將會帶來什麼安全危險呢?由於HB缺陷是在網站和服務器一方,網站攻擊者不是在用戶的電腦或手機上獲取用戶信息;攻擊者往往是攻擊網站和服務器,從服務方獲取用戶信息;而網站服務軟件和服務器往往是7x27日夜運行;因此內存中的信息都有被竊取的危險。如果用戶經常去政府或銀行網站進行交易服務,這些用戶的信息就有被竊取的可能。正是這一原因,加拿大政府的許多網站宣布進行關閉,這樣一是可以進行軟件更新,二是清除內存信息。即使如此,還是有不少攻擊者對政府網站進行攻擊和竊取,比如最近加拿大警察逮捕了一19歲的攻擊者,該攻擊者成功採用HB竊取了大量用戶信息。
網絡用戶該怎麼辦?
網絡現在已經成為許多人日常一部分,HB安全漏洞經媒體曝光之後,許多人因此十分擔心。根據OpenSSL一志願者,31歲的德國軟件開發者,說,HB漏洞實際上可能是兩年前的軟件更新中引入。HB漏洞只是在最近幾週內由Codenomicon公司的程序員發現的,之後很快Google的程序員也驗證了這一漏洞。問題是在這兩年之中,是否有網絡攻擊者已經利用該漏洞進行了用戶私人信息的偷竊活動?
一般來說,OpenSSL是目前網絡最為廣泛採用的安全標準,許多專家建議採用這一技術。驗證這一技術很簡單,一般檢查網絡地址URL是否採用htpps。可是HB出現之後,https也出現了漏洞,對於用戶來說這是十分困難的境地,因為他們無法控制或知曉https的安全性。
有專家建議用戶立刻改變密碼,但是對於有漏洞的網站來說,更改密碼也是徒勞無益的。目前許多專家建議各網站增加其安全的透明性,告訴用戶是否採取了補釘措施,是否建議用戶更改密碼。
無論怎麼說,不斷更改密碼這是一個非常費力費時的工作。HB只是網上安全漏洞的一冰山一角,也許還有許多更為危險和隱蔽的安全漏洞,在電腦和網絡世界中,安全漏洞和黑客攻擊將是一個持久的戰爭。
參考
- OpenSSL網站
- 分析文章:HB漏洞(Heatbleed Bug: What is it, Who is handling our security)
- OpenSSL主席Steven的就HB的公開文章:金錢、責任和成就感(Of Money, Responsibility and Pride)
- 紐約時報消息:加拿大警察逮捕一十九歲網絡攻擊者
- Youtube視頻:紐約時報HB採訪
No comments:
Post a Comment