加密鎖失靈 專家疑誇大
加密鎖失靈 專家疑誇大歐美網路資安專家發現,一個全球普及的網路加密技術兩年來一直存在「核彈級」的重大 漏洞,使駭客有機會不留痕跡竊取個資,全球多達三分之二網站恐淪陷,數百萬密碼和信 用卡號碼可能因此洩露,2億網友被波及。
自7日爆出有關漏洞消息後,有安全公司在其官方網站上發布新聞稱,該公司安全檢測平 台對120萬家經過授權的網站掃描,其中有1萬1440個網站主機受OpenSSL「心臟出血」 漏洞影響。7日、8日期間,共計約2億網友訪問了存在OpenSSL漏洞的網站。
若網站網址開頭使用https,就是採用了SSL安全協議。OpenSSL為處理SSL加密格式最常 見的程式庫,也就是銷量最大的「網路鎖」,用來保護客戶的密碼或信用卡號。芬蘭資安 公司Codenomicon的研究人員梅塔(Neel Mehta)日前發現OpenSSL的一項重大漏洞, 將之取名為「心臟出血」」(Heartbleed),原因是OpenSSL系統一項名為「心跳」的 功能,容許駭客向網站的伺服器送出惡意信息,騙取對方加密的資料。
紐約時報報導,知名網站谷歌、臉書、雅虎和亞馬遜、甚至美國聯邦調查局(FBI)等皆 使用此種加密方式。科技網Ars Technica稱,他們測試用「心血」漏洞短短5分鐘,「就 獲得雅虎電子郵箱的200個用戶名和密碼」。
雅虎坦承容易「中招」,但強調及後已修補旗下各項程式。據報導,「心血」的可怕之 處,在於不知道有多少資料被竊,也不知道已被駭了多久。Codenomicon行政總裁表 示,「駭客竊取加密鑰匙、用戶名稱、密碼和有價值的知識產權,而且不會留下任何痕 跡。除非駭客向你勒索,否則不會知道你是否被駭了。」
但有專家表示,網路安全「地震」被誇大。廣東井田雲科技有限公司首席架構設計師何漸 興表示,若在網站管理系統後台,將OpenSSL文件裡的一個源碼頁面加上了一段大學電腦 課上常用的一個if語句,就可以把OpenSSL漏洞輕鬆補上。何漸興說,OpenSSL漏洞就像 是一個房子的門開了一條非常細的縫,如果門外的陌生人經過並朝門縫裡盯一眼,理論上 有可能看見室內發生的事情,而用這條if句的安全機制就是,如果發現門外有陌生人經 過,主人便適時堵住門縫。
頁:
[1]