通俗版在此:關(guān)于“心臟出血”漏洞的解釋性說明
針對眼下爆發(fā)的OpenSSL漏洞,創(chuàng)投分享會今天(4月9日)早上已發(fā)了一篇文章說明其來龍去脈及危害,這里有一篇來自VOX網(wǎng)站的文章,對SSL及該次漏洞進行了更詳細的說明,摘編如下,由新浪科技翻譯:
什么是SSL?
SSL是一種流行的加密技術(shù),可以保護用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。當(dāng)用戶訪問Gmail.com等安全網(wǎng)站時,就會在URL地址旁看到一個“鎖”,表明你在該網(wǎng)站上的通訊信息都被加密。
這個“鎖”表明,第三方無法讀取你與該網(wǎng)站之間的任何通訊信息。在后臺,通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對話,也只能看到一串隨機字符串,而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內(nèi)容。
SSL最早在1994年由網(wǎng)景推出,1990年代以來已經(jīng)被所有主流瀏覽器采納。最近幾年,很多大型網(wǎng)絡(luò)服務(wù)都已經(jīng)默認利用這項技術(shù)加密數(shù)據(jù)。如今,谷歌、雅虎和Facebook都在使用SSL默認對其網(wǎng)站和網(wǎng)絡(luò)服務(wù)進行加密。
什么是“心臟出血”漏洞?
多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包。本周一,研究人員宣布這款軟件存在嚴(yán)重漏洞,可能導(dǎo)致用戶的通訊信息暴露給監(jiān)聽者。OpenSSL大約兩年前就已經(jīng)存在這一缺陷。
工作原理:SSL標(biāo)準(zhǔn)包含一個心跳選項,允許SSL連接一端的電腦發(fā)出一條簡短的信息,確認另一端的電腦仍然在線,并獲取反饋。研究人員發(fā)現(xiàn),可以通過巧妙的手段發(fā)出惡意心跳信息,欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙,并發(fā)送服務(wù)器內(nèi)存中的信息。
該漏洞的影響大不大?
很大,因為有很多隱私信息都存儲在服務(wù)器內(nèi)存中。普林斯頓大學(xué)計算機科學(xué)家艾德·菲爾騰(Ed Felten)表示,使用這項技術(shù)的攻擊者可以通過模式匹配對信息進行分類整理,從而找出密鑰、密碼,以及信用卡號等個人信息。
丟失了信用卡號和密碼的危害有多大,相信已經(jīng)不言而喻。但密鑰被盜的后果可能更加嚴(yán)重。這是是信息服務(wù)器用于整理加密信息的一組代碼。如果攻擊者獲取了服務(wù)器的私鑰,便可讀取其收到的任何信息,甚至能夠利用密鑰假冒服務(wù)器,欺騙用戶泄露密碼和其他敏感信息。
誰能利用“心臟流血”漏洞?
“對于了解這項漏洞的人,要對其加以利用并不困難?!狈茽栻v說。利用這項漏洞的軟件在網(wǎng)上有很多,雖然這些軟件并不像iPad應(yīng)用那么容易使用,但任何擁有基本編程技能的人都能學(xué)會它的使用方法。
當(dāng)然,這項漏洞對情報機構(gòu)的價值或許最大,他們擁有足夠的基礎(chǔ)設(shè)施來對用戶流量展開大規(guī)模攔截。我們知道,美國國家安全局(以下簡稱“NSA”)已經(jīng)與美國電信運營商簽訂了秘密協(xié)議,可以進入到互聯(lián)網(wǎng)的骨干網(wǎng)中。用戶或許認為,Gmail和Facebook等網(wǎng)站上的SSL加密技術(shù)可以保護他們不受監(jiān)聽,但NSA 卻可以借助“心臟流血”漏洞獲取解密通訊信息的私鑰。
雖然現(xiàn)在還不能確定,但如果NSA在“心臟流血”漏洞公之于眾前就已經(jīng)發(fā)現(xiàn)這一漏洞,也并不出人意料。OpenSSL是當(dāng)今應(yīng)用最廣泛的加密軟件之一,所以可以肯定的是,NSA的安全專家已經(jīng)非常細致地研究過它的源代碼?!?/div>
有多少網(wǎng)站受到影響?
目前還沒有具體的統(tǒng)計數(shù)據(jù),但發(fā)現(xiàn)該漏洞的研究人員指出,當(dāng)今最熱門的兩大網(wǎng)絡(luò)服務(wù)器Apache和nginx都使用OpenSSL??傮w來看,這兩種服務(wù)器約占全球網(wǎng)站總數(shù)的三分之二。SSL還被用在其他互聯(lián)網(wǎng)軟件中,比如桌面電子郵件客戶端和聊天軟件。
發(fā)現(xiàn)該漏洞的研究人員幾天前就已經(jīng)通知OpenSSL團隊和重要的利益相關(guān)者。這讓OpenSSL得以在漏洞公布當(dāng)天就發(fā)布了修復(fù)版本。為了解決該問題,各大網(wǎng)站需要盡快安裝最新版OpenSSL。
用戶應(yīng)當(dāng)如何應(yīng)對該問題?
不幸的是,如果訪問了受影響的網(wǎng)站,用戶無法采取任何自保措施。受影響的網(wǎng)站的管理員需要升級軟件,才能為用戶提供適當(dāng)?shù)谋Wo。
不過,一旦受影響的網(wǎng)站修復(fù)了這一問題,用戶便可以通過修改密碼來保護自己。攻擊者或許已經(jīng)攔截了用戶的密碼,但用戶無法知道自己的密碼是否已被他人竊取。
知名風(fēng)險投資公司
紅杉資本|瑞華投資|同創(chuàng)偉業(yè)|達晨創(chuàng)投|深創(chuàng)投|IDG|創(chuàng)東方|君聯(lián)資本|中科招商|經(jīng)緯中國|啟明創(chuàng)投|松禾資本|英特爾投資|優(yōu)勢資本|東方富海|天堂硅谷|九鼎投資|晨興創(chuàng)投|江蘇高科投|北極光創(chuàng)投|德同資本|凱雷投資|中國風(fēng)投|天圖資本|真格基金|DCM|IFC|凱鵬華盈|高盛投資|啟迪創(chuàng)投|戈壁|荷多投資|紀(jì)源資本|鼎暉投資|華平投資|金沙江投資|海納亞洲|永宣創(chuàng)投|險峰華興創(chuàng)投|中投|海通開元|中信資本|力鼎資本|平安創(chuàng)新資本|天使灣創(chuàng)投|和君資本|祥峰集團|招商湘江投資|元禾控股|力合創(chuàng)投|復(fù)星創(chuàng)富|陜西高投|光速創(chuàng)投|富達亞洲|成為資本|中信產(chǎn)業(yè)基金|GIC|基石資本|金茂資本|富坤創(chuàng)投|盈富泰克|重慶科投|鼎暉創(chuàng)投|北工投資|海富投資|招商局資本|新天域資本|中路集團|摩根士丹利|青云創(chuàng)投|建銀國際|德豐杰|弘毅投資|CVC|藍馳創(chuàng)投|寬帶資本|秉鴻資本|金石投資|天創(chuàng)資本|證大投資|中經(jīng)合|信中利|蘭馨亞洲|淡馬錫|浙商創(chuàng)投|華睿投資|景林資產(chǎn)|摯信資本|高特佳|清科創(chuàng)投|華登國際|山東高新投|集富亞洲|騰訊|無錫創(chuàng)投|創(chuàng)新工場|智基創(chuàng)投|策源創(chuàng)投|軟銀中國|
創(chuàng)業(yè)聯(lián)合網(wǎng)是創(chuàng)業(yè)者和投資人的交流平臺。平臺擁有5000+名投資人入駐。幫助創(chuàng)業(yè)企業(yè)對接投資人和投資機構(gòu),同時也是創(chuàng)業(yè)企業(yè)的媒體宣傳和交流合作平臺。
熱門標(biāo)簽
精華文章
商務(wù)與客服聯(lián)系微信