※ [本文转录自 IA 看板 #1JHiSBA5 ]
作者: bluebrown (仨基友撸一把) 看板: IA
标题: [新闻] OpenSSL加密现大漏洞 威胁全球2/3网站
时间: Fri Apr 11 00:29:54 2014
标题:OpenSSL加密现大漏洞 威胁全球2/3网站 恐泄百万计密码卡号
新闻来源: 钜亨网新闻中心
http://news.cnyes.com/Content/20140410/KIUSUSKBCEBKY.shtml
网络世界保安敲起严重警号，涉及全球多达2/3网站。欧美保安专家发现，一项全球普及的互联网加密技术2年来一直存在重大漏洞，令骇客有机会破解普通民众的网上社交活动信息的加密保护，不留痕迹地窃取其密码、储存盘案以至银行户口和信用卡资料等重要私隐，数以百万计密码和信用卡号码或因此泄露。
香港《明报》综合外电消息，今次漏洞发现于加密软件“OpenSSL”，分别由芬兰科技保安企业Codenomicon的3名员工组成的研究队伍和Google保安的梅塔(Neel Mehta)在上周发现。芬兰团队是在改善公司旗下Defensics电脑防护软件的SafeGuard功能期间知悉，而梅塔则是首名向“OpenSSL”研究队伍通报漏洞的人。
上述研究人员在周一公布发现漏洞。《纽约时报》指漏洞涉及全球2/3网站，Google、facebook、雅虎和亚马逊网上服务等科技巨擘纷纷宣布正在或已经修复问题。科技网站Ars Technica表示，其保安研究员成功利用免费工具，从雅虎电邮窃取资料，雅虎承认网站容易中招，但强调及后已修补旗下各项程式。
研究人员将今次漏洞命名为“心脏出血”(Heartbleed)，原因是它与“OpenSSL”系统一项名为“心跳”的功能有关。“OpenSSL”系统是处理互联网SSL加密格式的其一最常见程式库，其“心跳”功能容许骇客向社交和金融服务网站的服务器送出恶意信息，从而骗取对方泄露机密信息。
Codenomicon行政总裁David Chartier形容这是严重漏洞：“不怀好意者可进入电脑储存，窃取加密钥匙、用户名称、密码和有价值的知识产权，而且不会留下任何痕迹。除非骇客向你勒索，或在网上发布你的资讯，或盗取并利用贸易秘密，你不会知道你有否中招。”
LastPass总裁Joe Siegrist则形容，漏洞可怕之处，在于不知道各公司有什么信息被窃，亦不知道漏洞被发现前遭骇客利用了多久。《纽约时报》引述保安专家称，有证据显示部分骇客知道漏洞存在，并曾利用过它窃取资料。
网络保安专家指出，相关网站拥有者应尽快将现时采用的“OpenSSL”系统升级。不过建议用户等待，别急覑随便修改密码，因为若在尚未修复的网站上修改密码，或令新密码为骇客知悉，因此建议用户先到https://www.ssllabs.com/ssltest/ 网站输入网址，以求证相关网站是否已经修复问题。本报测试了香港汇丰银行、恒生银行、中银香港、惠康“惠康为您送”网上购物网站和缴费灵等涉及银行户口和网上交易的网站，全部已经更新了程式，不再受今次漏洞影响。
今次出现保安漏洞的OpenSSL系统，是网上最普及的加密格式“SSL”最常见的处理软件，香港电脑保安事故协调中心高级顾问梁兆昌向本报形容，“SSL”与“OpenSSL”的关系，就相当于“.doc”档案格式与文书处理软件“MS Word”的关系。他形容今次漏洞非常严重，一方面这项漏洞令OpenSSL加密系统形同虚设，另一方面OpenSSL相当流行，意味覑潜在受影响人数极多。
有关今次漏洞与潜在影响的基本原理，梁兆昌解释，骇客本身可以用户身分接上社交网络或网上银行等安装了OpenSSL的网站的服务器，然后利用OpenSSL系统漏洞，窃取服务器内部的记忆资料，包括“公共钥匙”(public key)。
服务器本身与用户个人电脑的联系，便是靠公共钥匙产生出来的“对话钥匙”(session key)作加密，而每段“通讯”都会有不同的对话钥匙作识别。骇客取得公共钥匙后，便相当于取得“百搭匙”，掌握了各个通讯的对话钥匙。换言之，我们登入电邮(服务器)期间输入的密码，以及其后的通讯内容，本来得到对话钥匙保护，现在则形同虚设，让骇客轻松取得。
OpenSSL在1998年面世，不过发生问题的只限于2012年以后的版本。
梁兆昌解释，软件升级或改版的过程中，例如加入不同的功能，如果当中设计欠佳，就会无意造成新漏洞。
※每日每人发文、上限量为十篇，超过会劣文请注意
⊕标题选用"新闻"，请确切在标题与新闻来源处填入，否则可无条件移除(本行可移除)