解析OpenSSL漏洞:影响巨大 两年前已存在

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

  什么是SSL?

  SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。

  这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

  SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。

Heartbleed Bug

Heartbleed Bug

  什么是“心脏出血”漏洞?

  多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。

  工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。

  该漏洞的影响大不大?

  很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。

  丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。

  谁发现的这个问题?

  该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低,研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作,在公布该问题前就已经准备好修复方案。

  谁能利用“心脏流血”漏洞?

  “对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。

  当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听,但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。

  虽然现在还不能确定,但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一,所以可以肯定的是,NSA的安全专家已经非常细致地研究过它的源代码。‘

  有多少网站受到影响?

  目前还没有具体的统计数据,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。

  发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。

  雅虎发言人表示:“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施,我们目前正在努力为旗下的其他网站部署修复措施。”

  谷歌表示:“我们已经评估了SSL漏洞,并且给谷歌的关键服务打上了补丁。”Facebook称,在该漏洞公开时,该公司已经解决了这一问题。

  微软发言人也表示:“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响,我们会采取必要措施保护用户。”

  用户应当如何应对该问题?

  不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。

  不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。

原文发布时间为:2014-04-09

本文来自云栖社区合作伙伴“Linux中国”

相关文章
|
4天前
|
存储 安全 网络安全
网络安全与信息安全:从漏洞到防范的全方位解析
【8月更文挑战第27天】在数字化时代,网络安全和信息安全的重要性日益凸显。本文将深入探讨网络安全漏洞、加密技术以及安全意识等方面的内容。我们将通过实例分析,揭示网络攻击者如何利用安全漏洞进行入侵,并介绍常见的加密技术及其应用。此外,我们还将强调提升个人和企业的安全意识对于防范网络攻击的重要性。无论你是IT专业人士还是普通用户,这篇文章都将为你提供宝贵的知识和技能,帮助你更好地保护自己的数字生活。
|
17天前
|
SQL 安全 算法
网络安全与信息安全:漏洞、加密技术与安全意识的深度解析
【8月更文挑战第14天】在数字化时代,网络安全和信息安全的重要性日益凸显。本文将深入探讨网络安全漏洞、加密技术以及提升个人和企业的安全意识等方面的内容。我们将通过具体案例,分析网络攻击的手段和后果,揭示加密技术的原理和应用,同时强调提升安全意识的必要性。文章旨在为读者提供全面的网络安全知识,帮助他们更好地保护自己的信息资产。
30 1
|
18天前
|
存储 安全 物联网
网络安全的盾牌与剑:漏洞防御与加密技术解析
在数字世界的海洋中,网络安全是航船上不可或缺的指南针。本文将深入探讨网络漏洞的识别与防范,同时揭示加密技术如何在保护信息安全中扮演关键角色。通过分析安全意识的重要性和提升策略,我们旨在为读者提供一套实用的网络安全知识框架,确保个人和企业能在信息战中站稳脚跟。
|
21天前
|
SQL 安全 网络安全
数字堡垒的裂缝与钥匙:网络安全漏洞与加密技术解析
在数字化时代的浪潮中,网络安全成为了保护信息资产的坚固城墙。然而,网络攻击者不断寻找着城墙的裂缝——安全漏洞,企图突破防线窃取或破坏数据。本文将揭示这些裂缝的本质,探讨如何通过加密技术加固防御,并强调提升个人与企业的安全意识在维护网络安全中的重要性。从基础概念到实际操作,我们将一同走进网络安全的世界,理解它、强化它,最终守护我们共同的数字家园。
25 3
|
7天前
|
SQL 安全 网络安全
网络安全与信息安全:从漏洞到加密技术,再到安全意识的全方位解析
【8月更文挑战第24天】在数字化时代,网络安全与信息安全的重要性不言而喻。本文将从网络安全漏洞、加密技术和安全意识三个方面进行深入探讨。我们将通过实例分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调提高个人和组织的安全意识的重要性。希望读者能够从中获得有价值的信息,并应用到实际生活中,共同构建一个更加安全的网络环境。
|
2月前
|
安全 网络安全 数据安全/隐私保护
数字堡垒:网络安全漏洞、加密技术与安全意识的深度解析
【7月更文挑战第25天】在数字化时代的浪潮中,网络安全已成为维护个人隐私和企业资产的关键防线。本文深入探讨了网络安全的三大支柱:网络漏洞识别与防护机制、先进的加密技术以及培养全民网络安全意识的重要性。通过分析最新的网络攻击案例、评估不同加密算法的优劣,并讨论如何通过教育提升公众的安全防范意识,旨在为读者提供一个全面的网络安全知识框架,从而在日益复杂的网络环境中保持警觉和保护。
|
2月前
|
存储 SQL 安全
网络安全漏洞解析与加密技术应用
随着信息技术的迅猛发展,网络安全问题日益凸显。本文深入探讨了网络安全漏洞的成因及其对信息安全的影响,重点分析了加密技术在防御网络攻击中的关键作用,同时强调了提升个人和组织安全意识的重要性。通过案例分析和技术讲解,旨在为读者提供全面、深入的网络安全知识分享。
27 2
|
2月前
|
安全 网络安全 数据安全/隐私保护
网络安全漏洞、加密技术与安全意识的深度解析
本文将深入探讨网络安全漏洞、加密技术以及安全意识的重要性和影响。我们将从网络安全漏洞的定义、类型及其产生的原因开始,然后详细解析加密技术的工作原理、种类及其在保护信息安全中的作用。最后,我们将讨论安全意识的重要性,以及如何通过提高公众的安全意识来防止网络攻击。
18 3
|
2月前
|
SQL 安全 网络安全
网络安全与信息安全:从漏洞到防护的全方位解析
【7月更文挑战第14天】在数字时代的浪潮中,网络安全与信息安全成为维护社会稳定和保护个人隐私的关键。本文深入探讨了网络环境中常见的安全漏洞、先进的加密技术以及提升安全意识的有效策略。通过分析最新的网络攻击案例和防御手段,旨在为读者提供一套实用的网络安全知识体系,帮助公众和企业构建更为坚固的信息安全防线。
|
2月前
|
SQL 安全 网络安全
数字堡垒的裂缝与防御:网络安全漏洞解析与加密技术应用
【7月更文挑战第13天】在数字化浪潮中,网络安全漏洞如同潜藏的陷阱,威胁着信息资产的安全。本文将深入剖析常见的网络攻击手段和安全漏洞,揭示它们背后的原因和影响。同时,探讨加密技术如何成为守护数据安全的利剑,以及提升个人与企业的安全意识在防范网络风险中的关键作用。通过案例分析和策略建议,旨在为读者提供一套实用的网络安全知识框架,强化数字世界的防护壁垒。

热门文章

最新文章

推荐镜像

更多
下一篇
云函数