全球網際網路近來響起警報聲,因為一個廣為運用的加密技術OpenSSL居然潛藏嚴重漏洞,可能暴露使用者帳號、信用卡號碼、使用者密碼等高度敏感資訊,而且這個名為「心臟出血」(Heartbleed)的漏洞居然已存在2年,直到上星期才曝光。
Heartbleed能讓攻擊者從伺服器記憶體中讀取64 KB的資料,利用傳送「heartbeat」封包給伺服器,在封包中控制變數,導致「memcpy」函數複製錯誤的記憶體資料,藉此擷取記憶體中的機密資料。
從亞馬遜(Amazon.com)到雅虎(Yahoo)到美國聯邦調查局(FBI),全球大約2/3的網站使用OpenSSL來加密,成千上萬的網路伺服器受到影響。現在許多網站都建議使用者儘快變更密碼,尤其是電子郵件、雲端資料儲存、金融交易的密碼,都有可能已經被Heartbleed波及。
OpenSSL是一種保障網際網路通訊安全的加密協議,Heartbleed影響網際網路的諸多層面,因為超過40%的網際網路伺服器都是Apache Web,而OpenSSL是Apache Web伺服器預設的安全通訊選項。OpenSSL在虛擬專用網路(VPN)技術中也普遍使用,後者是一種能讓企業員工遠程連上公司網進行工作的技術。
Google的一位資案研究員和一家小型資安公司Codenomicon幾乎同時發現Heartbleed,並在7日公告周知,引發軒然大波。多位資安專家表示,這是多年以來網際網路出現的最嚴重漏洞,駭客如果透過它發動攻擊,不會留下任何痕跡。
加州Stealthbits Technologies公司副總裁桑德(Jonathan Sander)說:「發現Heartbleed就像發現一種有問題的汽車零件,而且幾乎、每一種車款、每一輛車都會用到;問題是,你無法把網際網路和你的資料召回維修。」
美國國土安全部(DHS)建議所有使用OpenSSL的企業,立刻評估自家的伺服器是否安全。Google的發言人說,該公司已對OpenSSL的弱點進行評估,並對關鍵服務發布修正程式。
