OpenSSL“Heartbleed”漏洞威胁互联网安全
64KB数据窃取可致加密密钥泄露,服务器难以确认是否已遭攻击
目前,大部分互联网正面临崩溃的威胁。过去两年,众多企业和服务用以加密数据的安全协议OpenSSL存在一个漏洞,该漏洞一旦被利用,黑客便可以从服务器内存中窃取64KB的数据。
64KB的数据容量并不大,但问题在于这个名为“Heartbleed”的漏洞可以被重复利用。也就是说,黑客可以多次窃取64KB的数据,最终有可能获得专有加密密钥。有了这个密钥,黑客便能解密敏感的受保护数据。
比大家最初想象的更为糟糕的是,即使发布了补丁修复OpenSSL漏洞,也无法确认服务器此前是否已经遭到攻击。虽然可以放弃原有密钥、生成新密钥,但这仅能保护未来不受攻击。
安全研究人员尼古拉斯·韦弗(Nicholas Weaver)表示:“我相信,未来一年内会有大量服务器面临受攻击的威胁。这个漏洞不会得到修复。”事情正变得如人们所说那般糟糕,而且这种情况实属罕见。
如果你正在存储大量加密数据,并通过Heartbleed漏洞成功获取这些数据的密钥,那么它们将面临被窃取的风险。不过,采用“完全正向保密”(Perfect Forward Secrecy)系统加密的数据不会面临此类攻击,这可能会打消一些人的疑虑。
谁有能力搜集和保存这种信息?美国国家安全局(NSA)就可以。该组织因窃取互联网核心线路数据、甚至监控企业内部数据中心而臭名昭著。雅虎在欧洲的数据中心曾受到NSA监控,同时也是受Heartbleed漏洞影响的众多公司之一。雅虎最近宣布已强化各个数据中心的加密措施。
雅虎在发给TechCrunch网站的一份声明中表示:“最近发现的Heartbleed漏洞对许多使用OpenSSL的平台构成威胁,包括我们的平台。发现问题后,我们第一时间进行了修复,并成功修复了主要资产(如雅虎主页、电邮、财经、体育、科技、Flickr和Tumblr)中的漏洞,正在处理其余部分。我们致力于为用户提供最安全的体验,持续保护用户数据。”
Heartbleed并不是唯一最近出现的安全漏洞。NSA曾巨额收买加密技术公司RSA,促使其采用一种植入后门的随机数发生器。这种做法后果严重,如果NSA及其他国家情报机构不停止大规模数据搜集行为,最终将危及整个数据加密机制。
倘若此类行为不得到制止,那么所有人都将失去隐私。
