老牌加密技術OpenSSL的重大資安漏洞Heartbleed影響越演越烈,國外大型網路公司如Google、Yahoo等皆迅速大動作修補。資安專家也呼籲,臺灣網路服務業者要展開修補升級動作。

阿瑪科技資訊安全顧問丁性佃表示,這是全球性的安全問題,臺灣也一定會受影響,例如在電子商務、金融業或企業使用的網路設備等皆會受到影響。

丁性佃表示,這次漏洞不會造成服務中斷,因此大部分的使用者跟系統維護者不易發覺,所以,該漏洞在臺灣第一時間沒有受到關注,但其影響層面確實很大,全球有60%的伺服器暴露在Heartbleed危機當中,只要是Apache伺服器,或使用Linux或Unix作業系統的伺服器所提供的網路服務,皆有可能被駭。

除此之外,丁性佃提醒企業更需要注意隱藏的危機,例如很多企業自行維護的資訊系統沒有使用OpenSSL,但卻忽略了外包的資訊系統也有使用OpenSSL而同樣面臨了漏洞的威脅,因此,企業需要聯繫外包廠商確認是否使用OpenSSL加密技術。另一個容易忽略的是基礎網通設備,大部分網通設備採用Linux核心,因此也有很高的機率使用了有漏洞的OpenSSL版本,而這些網通設備通常很難或甚至無法更新韌體,容易造成根本性的資安漏洞。

丁性佃建議,臺灣網路服務業者若使用了OpenSSL加密技術,應立刻更新版本,防止災情擴大。因為漏洞發生在伺服器端,使用者目前可以說是束手無策,更改密碼的效果也有限。在狀況未明前,丁性佃直接表示:「除非你不上網,否則不可能不受影響」。


Advertisement

更多 iThome相關內容