本月初,全球各大主流媒体陆续曝出了关于互联网有史以来最大的安全漏洞——“心脏流血”(Heartbleed直译),一时间,各大主流网络公司的系统管理员们纷纷开始为自己的系统打补丁。这一安全漏洞很可能会被黑客们所利用,从而破解加密信息,窃取到用户的个人数据。
但是对于很多非主流的小型网络公司而言,面对“心脏流血”,他们可能并不会采取任何应对措施或者消极应对。换句话说,“心脏流血”将会持续威胁互联网安全很多年,它的余毒或许将会永远残留下去。
“Heartbleed”漏洞是由谷歌和一家在线安全公司Codenomicon的研究人员发现,它是OpenSLL开源网络数据加密工具中包含的大约10行简单的代码,它将会影响到OpenSSL这一关键网络加密技术。实际上,这个安全漏洞已经存在两年多了,而且没有留下任何可疑的迹象,黑客们利用它轻易获取用户的加密信息。
具体来讲,如果某个网站采用的是OpenSLL加密技术,黑客便可以利用“Heartbleed”运行这个软件的服务器来获取敏感信息。而且,黑客不仅可以从网站上窃取用户的个人信息,而且还可以伪造出该相应的冒牌网站,从而从一个服务器上“钓”取用户的用户名、密码、信用卡详细资料等大量信息。
更糟的是,当黑客利用“Heartbleed”安全漏洞进行攻击时,这种不法行为是很难被察觉的。换句话说,目前还没有一种有效的方法可以判断出某网站是否已经被“Heartbleed”入侵。这也是为什么各大网站会尽快升级他们的OpenSSL版本,防患于未然。
尽管如此,由于目前有超过三分之二的网站采用OpenSSL加密协议,这些具有潜在风险的网站中有很多都是小型网站,它们没有能力保证第一时间修复漏洞,有些甚至会选择睁一只眼闭一只眼。
在线隐私保护公司Abine的首席技术官安德鲁·萨德伯里(Andrew Sudbury)对此表示:“全球各个角落的机房里放着不计其数的服务器,很难保证每一台都会打上预防Heartbleed安全漏洞的补丁”。
给存在安全隐患的网站“打预防针”并不难——系统管理员只需要升级相应的软件包,重启系统,然后更换OpenSSL的密钥和安全证书。“这并不是很复杂,只是需要花点时间而已”,安德鲁如是说。
上世纪90年代,黑客们曾利用一种所谓的“PHF exploit”漏洞来攻击网络服务器。但是当这个漏洞被发现并修复之后,每年通过该漏洞进行攻击的事件还是层出不穷。
此外,安德鲁还表示,历史经验告诉我们,近年来一些主要的网络安全漏洞被发现并修复之后,黑客们依然会持续不断的利用这些漏洞进行网络攻击。“Heartbleed”也不会例外,黑客们往往无孔不入。
即便是用户在某一个网站上信息被盗,而且这个网站并不包含信用卡、用户名信息等敏感信息,但是这一单个的薄弱环节也容易引起严重的破坏,特别是那些喜欢用同一个密码进行各种网络操作的用户而言更是如此。
讽刺的是,一些对“Heartbleed”安全漏洞并不是很在意的网站实际上并没有受到攻击,而“Heartbleed”早在2012年3月份就出现了。
虽说“Heartbleed”的攻击模式很难被察觉,但是这并不意味着用户就只能坐以待毙。用户可以通过某些工具检测自己的网站是否需要升级OpenSSL版本,而且有些像Chrome以及火狐等第三方浏览器提供的扩展功能还可以进行随机自检,以避免被攻击。
此外,用户还可以通过为自己的服务器设置双加密密钥的方式来避免被攻击,而且尽可能的更新所有密码设置,且不要重复使用。
尽管如此,就算等到这个漏洞彻底消除,我们也没办法知道在此之前已经丢失了多少信息。我们将在未来许多年里都能感受到Heartbleed的余威。(拉里 编译)