OpenSSL在周二(4/8)發布Heartbleed臭蟲的重大安全通告,這個潛伏兩年的臭蟲,影響了全球網路加密資料的傳輸安全,可能讓駭客取得你的Gmail內容、金融交易資料與帳密等原本由加密傳輸所保護的資料。由於影響層面相當大,因此有資安專家認為這是網路有史以來最嚴重的臭蟲。

到底什麼是Heartbleed臭蟲?對於資訊安全有怎樣的影響?企業與個人該如何因應? iThome整理了相關的資料與報導,讓大家一目瞭然。

什麼是Heartbleed臭蟲?

這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為Heartbleed bug,Heartbleed也就是「心在淌血」的意思。

這個漏洞並不是SSL/TLS協定的問題,而是OpenSSL函式庫的程式錯誤。

什麼是OpenSSL?

OpenSSL是相當受歡迎的網路加密軟體函式庫,網路上SSL/TLS加密傳輸建置的開放源碼套件。

通常網際網路上的資料傳輸都透過SSL/TLS加密來提供資料的安全與隱私性,保護使用者在瀏覽網站、電子郵件傳輸、IM(即時傳訊),以及一些VPN的資料安全。

對一般使用者來說,什麼是SSL/TLS?

SSL是「安全插槽層」(Secure Sockets Layer)的縮寫,這是最早由網景公司(Nestscape)所制定的一種安全傳輸協定,該通訊協定主要在網路的傳輸中對通訊資料進行加密,確保資料不會被第三方所存取。

TLS是「傳輸層安全」(Transport Layer Security)的縮寫,也是網際網路工程工作小組(IETF)將SSL標準化與修改之後的安全傳輸加密協定。

使用者在瀏覽網站時,如果看到網址列是以「https://」(多一個 s )為開頭,而不是一般的「http://」,就代表受到了SSL/TLS協定的保護,可以確保資料傳輸的安全(如果沒漏洞的話)。例如,Google的Gmail就全面以加密傳輸保護,此外,在金融交易相關網站上使用也相當普遍。

Heartbleed漏洞對網路安全的具體影響?(簡單說)

Heartbleed漏洞讓駭客可以讀取到系統記憶體內原本應該由OpenSSL軟體所保護的機密資料。

這些受保護的資料可能包含機密的網頁內容、金鑰、個人的帳號密碼,甚至信用卡交易的相關資料,駭客也可利用這個漏洞監聽網路上的通訊內容(例如即時傳訊的對話)。

發現這個漏洞之一的資安業者Codenomicon並已做過實際測試,驗證了駭客的確可利用該漏洞竊取機密資料。

受Heartbleed漏洞影響的軟體有那些?

受影響的OpenSSL版本有1.0.1 及1.0.2-beta , 1.0.1f及1.0.2-beta1(含)之前的舊版。最新釋出的1.0.1g及1.0.2-beta2則可修補該漏洞。

另也有許多內含OpenSSL的作業系統受到影響,包括Debian Wheezy,Ubuntu 12.04.4 LTS,CentOS 6.5、Fedora 18、OpenBSD 5.3及 5.4 、FreeBSD 10.0 以上及NetBSD 5.0.2。

企業如何因應?

立即更新伺服器上的OpenSSL,完成更新之後並重新開機。

 Google更新服務以解決OpenSSL漏洞

 OpenSSL的Heartbleed漏洞,資安業者給企業與消費者的建議

一般使用者如何因應?

立即更新網路服務的密碼不見得是個好方法,因為可能服務供應商尚未修補漏洞。

但如果服務供應商要求你變更密碼,請一定要立即依照建議執行,並觀察自己的帳號是否有可疑的活動,必要時再主動變更像是電子郵件或金融服務等重要服務的密碼,以及使用最新的防毒軟體。

 OpenSSL的Heartbleed漏洞,資安業者給企業與消費者的建議

是誰發現Heartbleed臭蟲?

這個漏洞是由Google資安工程師Neel Mehta和Codenomicon的工程師所組成的安全團隊所發現。

其他相關連結:

 OpenSSL重大漏洞Heartbleed 全球網路加密傳輸安全拉警報
 資安專家:Heartbleed是網路有史以來最嚴重的臭蟲
 安全修補公告
 Heartbleed.com

 

 

 

 


Advertisement

更多 iThome相關內容