何为SSL?
SSL是一流行的加密技术,可保护网络用户在互联网上传输的隐私信息。例如,访问诸如Gmail.com的安全网站时,你会看到URL左侧有一绿色的“锁头”图标,它意指你与该网站的通讯受到加密保护。以下是它在谷歌Chrome浏览器上的模样:
该锁头表明第三方会无法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话,他将只能够看到随即字符串,而无法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。
SSL是1994年最先由网景(Netscape)推出,自1990年代以来一直面向各款主流浏览器。近年来,主流的在线服务也都趋向使用该加密技术。目前,谷歌、雅虎和Facebook对于自家的网站和在线服务全都默认使用SSL加密技术。
何为Heartbleed漏洞?
大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一,研究人员公布该软件存在一个会致使用户通讯内容泄露的严重漏洞。OpenSSL存在这种漏洞已有约两年时间。
具体来说,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。
漏洞影响很大吗?
是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾(Ed Felten)指出,使用这种技术的攻击者会“通过模式匹配整理那些信息,试图找到密钥、密码以及诸如信用卡号码的个人信息”。
账号密码、信用卡号码失窃的严重性无需赘述,而密钥失窃甚至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者获得服务器的私有密钥,那他就能读取任何发送到服务器的信息。他甚至能够利用密钥冒充服务器,诱使用户泄露他们的账号密码和其它的敏感信息。
谁发现了漏洞?
是Codenomicon和谷歌安全部门(Google Security)的研究人员独立发现的。为了最大限度地降低公布漏洞会带来的损害,研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。
