解析OpenSSL漏洞：影響巨大 兩年前已存在

　　ssl是一種流行的加密技術，可以保護使用者通過網際網路傳輸的隐私資訊。當使用者通路gmail.com等安全網站時，就會在url位址旁看到一個“鎖”，表明你在該網站上的通訊資訊都被加密。

　　這個“鎖”表明，第三方無法讀取你與該網站之間的任何通訊資訊。在背景，通過ssl加密的資料隻有接收者才能解密。如果不法分子監聽了使用者的對話，也隻能看到一串随機字元串，而無法了解電子郵件、facebook文章、信用卡賬号或其他隐私資訊的具體内容。

　　ssl最早在1994年由網景推出，1990年代以來已經被所有主流浏覽器采納。最近幾年，很多大型網絡服務都已經預設利用這項技術加密資料。如今，谷歌、雅虎和facebook都在使用ssl預設對其網站和網絡服務進行加密。

heartbleed bug

　　多數ssl加密的網站都使用名為openssl的開源軟體包。本周一，研究人員宣布這款軟體存在嚴重漏洞，可能導緻使用者的通訊資訊暴露給監聽者。openssl大約兩年前就已經存在這一缺陷。

　　工作原理：ssl标準包含一個心跳選項，允許ssl連接配接一端的電腦發出一條簡短的資訊，确認另一端的電腦仍然線上，并擷取回報。研究人員發現，可以通過巧妙的手段發出惡意心跳資訊，欺騙另一端的電腦洩露機密資訊。受影響的電腦可能會是以而被騙，并發送伺服器記憶體中的資訊。

<a target="_blank"></a>

　　很大，因為有很多隐私資訊都存儲在伺服器記憶體中。普林斯頓大學計算機科學家艾德·菲爾騰(ed felten)表示，使用這項技術的攻擊者可以通過模式比對對資訊進行分類整理，進而找出密鑰、密碼，以及信用卡号等個人資訊。

　　丢失了信用卡号和密碼的危害有多大，相信已經不言而喻。但密鑰被盜的後果可能更加嚴重。這是是資訊伺服器用于整理加密資訊的一組代碼。如果攻擊者擷取了伺服器的私鑰，便可讀取其收到的任何資訊，甚至能夠利用密鑰假冒伺服器，欺騙使用者洩露密碼和其他敏感資訊。

　　該漏洞是由codenomicon和谷歌安全部門的研究人員獨立發現的。為了将影響降到最低，研究人員已經與openssl團隊和其他關鍵的内部人士展開了合作，在公布該問題前就已經準備好修複方案。

　　“對于了解這項漏洞的人，要對其加以利用并不困難。”菲爾騰說。利用這項漏洞的軟體在網上有很多，雖然這些軟體并不像ipad應用那麼容易使用，但任何擁有基本程式設計技能的人都能學會它的使用方法。

　　當然，這項漏洞對情報機構的價值或許最大，他們擁有足夠的基礎設施來對使用者流量展開大規模攔截。我們知道，美國國家安全局(以下簡稱“nsa”)已經與美國電信營運商簽訂了秘密協定，可以進入到網際網路的骨幹網中。使用者或許認為，gmail和facebook等網站上的ssl加密技術可以保護他們不受監聽，但nsa 卻可以借助“心髒流血”漏洞擷取解密通訊資訊的私鑰。

　　雖然現在還不能确定，但如果nsa在“心髒流血”漏洞公之于衆前就已經發現這一漏洞，也并不出人意料。openssl是當今應用最廣泛的加密軟體之一，是以可以肯定的是，nsa的安全專家已經非常細緻地研究過它的源代碼。‘

　　目前還沒有具體的統計資料，但發現該漏洞的研究人員指出，當今最熱門的兩大網絡伺服器apache和nginx都使用openssl。總體來看，這兩種伺服器約占全球網站總數的三分之二。ssl還被用在其他網際網路軟體中，比如桌面電子郵件用戶端和聊天軟體。

　　發現該漏洞的研究人員幾天前就已經通知openssl團隊和重要的利益相關者。這讓openssl得以在漏洞公布當天就釋出了修複版本。為了解決該問題，各大網站需要盡快安裝最新版openssl。

　　雅虎發言人表示：“我們的團隊已經在雅虎的主要資産中(包括雅虎首頁、雅虎搜尋、雅虎電郵、雅虎财經、雅虎體育、雅虎美食、雅虎科技、flickr和tumblr)成功部署了适當的修複措施，我們目前正在努力為旗下的其他網站部署修複措施。”

　　谷歌表示：“我們已經評估了ssl漏洞，并且給谷歌的關鍵服務打上了更新檔。”facebook稱，在該漏洞公開時，該公司已經解決了這一問題。

　　微軟發言人也表示：“我們正在關注openssl問題的報道。如果确實對我們的裝置和服務有影響，我們會采取必要措施保護使用者。”

　　不幸的是，如果通路了受影響的網站，使用者無法采取任何自保措施。受影響的網站的管理者需要更新軟體，才能為使用者提供适當的保護。

　　不過，一旦受影響的網站修複了這一問題，使用者便可以通過修改密碼來保護自己。攻擊者或許已經攔截了使用者的密碼，但使用者無法知道自己的密碼是否已被他人竊取。

原文釋出時間為：2014-04-09

本文來自雲栖社群合作夥伴“linux中國”