剛搬到永和老公寓時,客廳落地窗的玻璃門無法上鎖,夜裡翻來覆去睡不安穩。我擔心一旦睡死了,若有人翻過沒有鐵窗的陽臺,拉開了門就輕易翻箱倒櫃,如入無人之境。隔天一早鎖匠來了一查,對著我喊:「連鎖都失效了,不換新怎會安全!」

引爆全球網站OpenSSL安全恐慌的Heartbleed漏洞,讓我想到了這個件事。OpenSSL就像是網站大門的鎖頭,過去兩年,許多知名網站為了強化網站安全,避免受到國家機器的檢查,或駭客的竊取,紛紛改用加密傳輸來提供網路服務,火紅的各種公雲服務也是靠加密來保護客戶資料,甚至只有客戶自己才擁有可以解碼的金鑰,連服務提供者都無法偷看。而多數網站慣用的加密機制就是這次引發軒然大波的OpenSSL。這個用來保護網站加密傳輸的鎖頭出包了。

光是一晚無法上鎖大門,我就輾轉難眠,這套網際網路的安全鎖頭,竟然2011年底就出現漏洞。一次OpenSSL程式碼的小更新,在一個用來查詢OpenSSL運作是否正常的Heartbeat(心跳)機制上,就像是MIS用來查詢網站服務是否正常的Ping指令,Heartbeat也會回傳一段資料給查詢者。

也許當時為了加快這個簡單指令的處理速度,而忘了限制回傳資料的長度,直接回傳64KB的內容給查詢者。但是,這個資料量遠超過了Heartbeat要提供的資料內容,導致系統會任意複製記憶體內其他資料,補足64KB內容回傳給查詢者,而外洩了不該提供的資料。因為在系統記憶體內的資料大多是沒有加密的真實資料,例如像是使用者帳號和密碼,甚至是交易資料、信用卡卡號等。

漏洞一發布,很快就有資安專家證實可以利用這個漏洞竊取Yahoo網站的登入密碼。加拿大國稅局提供的網路報稅服務也傳出災情,數百位民眾個資遭竊,甚至加拿大警方還逮捕了可能利用這個漏洞發動攻擊的一位駭客。

也有雲端服務業者設置了測試主機廣邀高手挑戰入侵,果然證實可以竊取網站的加密私鑰。有了這把鑰匙,就更容易偽裝成這個網站的身分,而難被識破。

原本安全的網站加密防護牆有了缺口,像破了一個洞的窗戶,外面的人隨時都可以一窺室內風光。Heartbeat也因此被命名為Heartbleed(心臟淌血)漏洞,因為攸關網站服務品質和信譽的安全有了傷口。

許多網路服務業者紛紛受到波及,Google、Yahoo、Facebook都緊急搶修,許多資安產品也受到影響,包括了作業系統、網站伺服器、資料庫、虛擬化產品等,甚至是許多知名廠牌的網通設備都紛紛中箭。IT廠商連忙日夜趕工推出更新。

就像鎖匠提醒我,得趕緊把鎖換了才安全,企業也得趕緊檢查自己所用的設備,是不是使用了發生問題的OpenSSL版本,甚至得更新程式且重新產生金鑰,撤銷可能有風險的老舊金鑰,才能第一時間止血。(請見OpenSSL安全大崩壞專題報導)

作者簡介


Advertisement

更多 iThome相關內容