电子工程专辑互动社区>自由讨论>通信与网络专区>解析OpenSSL漏洞:影响巨大 两年前已存在 波及网银电商
大家在做什么
作者 问题:

解析OpenSSL漏洞:影响巨大 两年前已存在 波及网银电商

发布时间:2014-4-9 下午4:15

作者: PS007

等级: 青铜大侠

积分: 2318分

发帖数: 140次

网站总积分: 2341分

经验值: 106.0

查看用户的所有发言

查看用户的个人e空间

需要确认注册邮箱后才能下载,立即确认我的邮箱
回复后可下载附件 关闭
北京时间4月9日消息,电脑安全领域昨天曝出了一条重大消息:研究人员发现流行网络加密软件OpenSSL存在一处巨大漏洞。主要在线服务提供商都在努力解决这一问题。究竟发生了什么?它会对用户产生何种影响?美国网站Vox周二撰文对此进行了解析。

以下是文章全文:

何为SSL?

SSL是一种流行加密技术,允许网络用户保护他们通过互联网传输的信息隐私。当你访问一个安全网站时,比如Gmail.com,你就会在网址前缀旁看到“一把锁”,这表明你与网站的通讯已经被加密。

这把锁还意味着第三方无法阅读你所发送或收到的任何信息。在协议内部,SSL将你的数据转化成一条编码信息,而且只有接受方知道如何进行解码,SSL就是这样实现了信息的加密。即便是不法分子进行监控,他们只能看到一个看似随机的字符串,而不是你的电邮内容、Facebook帖子、信用卡账号或其它隐私信息。

SSL在1994年由网景推出,自上世界90年代以来已经被主要浏览器所使用。近些年,主要在线服务开始逐渐默认使用加密服务。如今,谷歌、雅虎、Facebook全部都在其网站和在线服务中默认使用SSL加密服务。

什么是心脏**(Heartbleed)漏洞

大多数SSL加密网站都基于一种名为OpenSSL的开源软件包。本周一,研究人员宣布在OpenSSL中发现了一处严重漏洞,可导致用户通讯被窃听。这个漏洞已经在OpenSSL中存在了两年时间。

以下就是漏洞被利用的工作原理:SSL标准中包含了一个心跳选项,它可以允许处于SSL连接一端的电脑发送短信息,确认另一台电脑仍然在线,并给与回应。研究人员发现,OpenSSL存在的一处漏洞可以使得SSL连接一端的电脑发送虚假心跳信息,欺骗另一端的电脑泄露机密信息。通俗地讲,一台存在漏洞的电脑可以被欺骗传输服务器内存内容。

影响大吗?

很大,因为大量隐私信息被存储在服务器内存中。普林斯顿大学电脑科学家艾德·费尔顿(Ed Felten)表示,攻击者可以根据模式匹配对信息进行分类,找出密钥、密码以及信用卡账号等个人信息。

对于密码和信用卡账号被盗的危害我不必都说。但是如果密钥丢失,危害将会更大,因为它是信息服务器用来破译收到加密信息的工具。如果攻击者拿到了一台服务器的私人密钥,他就可以阅读发送到这台服务器上的任何信息。攻击者甚至还可以利用密钥假冒服务器,欺骗用户泄露他们的密码和其它敏感信息。

谁发现了这一问题?

它是由安全解决方案供应商Codenomicon和谷歌安全部门的研究人员独立发现的。为了将这一漏洞披露的影响最小化,研究人员已经与OpenSSL团队和其他关键的内部人士合作,在公开公布这一漏洞前就准备好了修复方案。

谁可以利用心脏**漏洞?

费尔顿称,对于了解该漏洞的人来说,对它进行利用并不是十分困难。可利用漏洞的软件在网上到处都是,尽管这些软件不像iPad应用那样便于用户使用,但是具备基本编程技术的人都会知道如何使用它。

当然,这一漏洞对于情报机构最有价值,后者拥有大规模拦截用户流量的基础设施。美国国家安全局(NSA)已经与美国电信提供达成了秘密协议,能够侵入互联网骨干网络。用户可能会想,Gmail、Facebook等网站上的SSL加密服务能够保护他们免遭窃听。然而,心脏**漏洞能够帮助NSA获得解密私人通讯所需要的私人密钥。

目前还不确定NSA是否已经提前发现了心脏**漏洞,但即便是他们提前发现,也不会令人感到惊讶。OpenSSL是全球使用最广的加密软件,NSA安全专家肯定已经细致研究了它的源代码。

多少网站受到影响?

目前还没有准确的统计数据,但是发现漏洞的研究人员称,最为流行的两大网络服务器Apache和nginx都使用了OpenSSL。综合来看,这两大服务器占据了全球网站的三分之二。SSL还被用于其它互联网软件,比如桌面电邮客户端以及聊天软件。

研究人员称,他们已经在几天前通知了OpenSSL团队和其他关键利益相关方。这种做法可以使得OpenSSL在漏洞向公众宣布的同时推出修复版软件。

?
问题的应对与新的问题


在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。”

与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
引用 回复 鲜花 ( 0) 臭鸡蛋 ( 0) 有新回复时发送邮件通知
电子工程专辑无奈的抢购,真心地火热
第1楼

回复主题:解析OpenSSL漏洞:影响巨大 两年前已存在 波及网银电商

发布时间:2014-4-10 上午9:40

作者: 寻觅虚无

等级: 青铜长老

积分: 3693分

发帖数: 2371次

网站总积分: 3718分

经验值: 220.0

查看用户的所有发言

查看用户的个人e空间

需要确认注册邮箱后才能下载,立即确认我的邮箱
回复后可下载附件 关闭
还有这事,什么时候的事?
一个大学生完成电子设计的全过程 值得一读 (下载2666 次) 书上学不到的~某高手谈开关电源设计心得,经典~ (下载2579 次)
运放和比较器的根本区别 (下载2239 次) 焊接工艺(花了很多时间整理,图文并茂) (下载2672 次)
电子电路制作大全[PDF共6本] (下载128273 次) WiFi模块全总结 (下载4319 次)
引用 回复 鲜花 ( 0) 臭鸡蛋 ( 0)
电子工程专辑从谷歌眼镜之殇,窥测手机的未来演变
第2楼 回复主题:解析OpenSSL漏洞:影响巨大 两年前已存在 波及网银电商 发布时间:2014-4-11 上午10:16

作者: xuewen_ran

等级: 武林新秀

积分: 604分

发帖数: 153次

网站总积分: 611分

经验值: 7.0

查看用户的所有发言

查看用户的个人e空间

需要确认注册邮箱后才能下载,立即确认我的邮箱
回复后可下载附件 关闭
有这么严重? 在国内好像都是贼喊捉贼的游戏了。 所谓的安全软件,实际上是最不安全的东西,因为你的电脑对它几乎是透明的。可是你凭什么在相信他们呢?
电感、磁珠、零欧姆电阻整理合集下载 (下载1308 次) 电子设计从零开始完整版电子书(全书374页) (下载2464 次)
Cortex-M3权威指南中文版 (下载7798 次) 电子电路制作大全[PDF共6本] (下载128273 次)
几种恒流电路的设计 (下载5827 次) [下载]电子设计1000例 (下载66956 次)
引用 回复 鲜花 ( 0) 臭鸡蛋 ( 0)

与?openssl漏洞,网银,泄密?相关的话题
?
快速回复
用户名:?
美国的游客?????? (您将以游客身份发表,请登陆 | 注册 ) ?
标题: * 你还可以输入80
评论: * 你还可以输入10000
分享到: 新浪微博?? qq空间?? qq微博?? 人人网?? 百度搜藏??
验证码: ?*?
维护专业、整洁的论坛环境需要您的参与,请及时举报违规帖子,如果举报属实,我们将给予相应的积分奖励。
谢谢您的热心参与!
返回通信与网络专区 | 返回自由讨论
本论坛仅陈述专家或个人观点,并不代表电子工程专辑网站立场。
返回论坛页首
有问题请反馈