關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。購買訂閱有助於確保關於塑造我們當今世界的發現和想法的有影響力的故事的未來。
消費者習慣於每週都會看到有關又一個網際網路安全漏洞或資料洩露的新聞,他們可能很難理解為什麼 Heartbleed(通常使用的 Web 安全軟體 OpenSSL 中的漏洞)有所不同。但它的確不同:像布魯斯·施奈爾(Bruce Schneier)這樣立場多元且不危言聳聽的安全評論員,以及電子前沿基金會(Electronic Frontier Foundation)和 Ars Technica 都將該漏洞稱為“災難性的”。
施奈爾昨天在他的部落格上寫道:“如果用 1 到 10 的等級來衡量,這肯定是 11。”
那麼:它是什麼?你如何知道它是否會影響你?你該如何應對?
SSL(安全套接字層)是一種在 Web 上普遍使用的協議,用於保護傳輸中的機密使用者資訊。這包括但不限於使用者 ID 和密碼、信用卡詳細資訊和其他個人資訊。當你在瀏覽器位址列的地址開頭看到 HTTPS 時,該語法表示正在使用 SSL 來加密你的計算機和另一端的 Web 伺服器之間的流量。越來越多地使用 SSL 來保護使用者在搜尋引擎、Webmail 和社交網路中輸入的查詢和訊息,使其在傳輸過程中無法被讀取,這是 Web 對愛德華·斯諾登(Edward Snowden)關於國家安全域性對網際網路流量進行大規模監視的揭露的重要回應。
SSL 基於公鑰密碼學:也就是說,每個使用它的伺服器都有一對互補的加密金鑰,這些金鑰由可信機構頒發的證書進行身份驗證。使用公鑰編碼的材料(可以廣泛傳播)只能由保密的私鑰解密,反之亦然。當你與此類伺服器安全通訊時,你的瀏覽器首先透過檢查證書來檢查伺服器的身份。如果瀏覽器信任證書,它將使用伺服器的公鑰發回訊息。然後,伺服器發回數字簽名的確認,並開始安全會話。你可以透過單擊瀏覽器位址列中 HTTPS 旁邊顯示的小鎖圖示來檢視此身份驗證的詳細資訊。要發揮作用,SSL 必須在軟體中實現,然後將其整合到更大的產品中,例如 Web 伺服器。最常見的此類實現是 OpenSSL,大約三分之二的 Web 伺服器都在使用它。
Heartbleed 是一個兩年舊的程式設計錯誤造成的,該錯誤允許攻擊者誘騙執行 OpenSSL 的系統,使其無法檢測地洩露伺服器系統記憶體的內容。在給定的時刻,這些內容可以是任何東西——使用者名稱和密碼、信用卡號碼,或者更具破壞性的是伺服器的私有加密金鑰。許多知名的網站都受到了影響,包括 Yahoo!(及其子公司 Tumblr 和 Flickr)、約會網站 OKCupid 以及匿名瀏覽系統 Tor。
像 2013 年 12 月 Target 的洩露事件相比之下比較簡單。它的範圍很大——DatalossDB.org 將洩露的記錄數量定為 1.1 億條——但邊界大致已知。消費者知道他們是否處於風險之中,供應商和客戶等業務合作伙伴也是如此。相比之下,Heartbleed 是數百萬個人和企業在全球範圍內信任的用來保護從零售網站到郵件伺服器的系統的基本技術中的一個漏洞,而且由於無法知道可能複製了哪些資訊,因此確切的規模可能永遠無法明確。
解決此問題是一個多階段的過程:站點工程師需要修補其伺服器軟體(這可能需要等待其供應商提供補丁),撤銷其舊證書和金鑰,並頒發新證書和金鑰。因此,像防病毒公司 Sophos 這樣的專家說,在此工作完成之前更改你的密碼不會讓你變得不那麼脆弱,儘管你可能仍然希望這樣做。如果你現在更改了所有密碼,請確保在修復網站後再次返回並執行此操作。但是,你應該立即更改在受影響的網站上使用過的其他網站的密碼。考慮使用 LastPass、1Password 或 Password Safe 等密碼管理器,以便更輕鬆地生成隨機且唯一的密碼——為此,它們需要你記住一個(長!複雜!)的密碼短語。
從長遠來看,電子前沿基金會正在推動網站採用完美前向安全(Perfect Forward Security),這將消除攻擊者使用網站私鑰讀取他們過去兩年儲存的資料的能力。