“心臟出血”通俗版解釋：用戶無法采取自保措施

時間：2015-05-26 13:41:16 來源：悠牛網傳媒廣電資訊 點擊量：491

??? 針對眼下爆發的OpenSSL漏洞，虎嗅今天（4月9日）早上已發了一篇文章說明其來龍去脈及危害，這里有一篇來自VOX網站的文章，對SSL及該次漏洞進行了更詳細的說明，摘編如下，由新浪科技翻譯：
??? 什么是SSL？
??? SSL是一種流行的加密技術，可以保護用戶通過互聯網傳輸的隱私信息。當用戶訪問Gmail.com等安全網站時，就會在URL地址旁看到一個“鎖”，表明你在該網站上的通訊信息都被加密。
??? 這個“鎖”表明，第三方無法讀取你與該網站之間的任何通訊信息。在后臺，通過SSL加密的數據只有者才能解密。如果不法分子了用戶的對話，也只能看到一串隨機字符串，而無法了解電子郵件、Facebook帖子、信用卡賬號或其他隱私信息的具體內容。
??? SSL最早在1994年由網景推出，1990年代以來已經被所有主流瀏覽器采納。最近幾年，很多大型網絡服務都已經默認利用這項技術加密數據。如今，谷歌、雅虎和Facebook都在使用SSL默認對其網站和網絡服務進行加密。
??? 什么是“心臟出血”漏洞？
??? 多數SSL加密的網站都使用名為OpenSSL的開源軟件包。本周一，研究人員宣布這款軟件存在嚴重漏洞，可能導致用戶的通訊信息暴露給者。OpenSSL大約兩年前就已經存在這一缺陷。
??? 工作原理：SSL標準包含一個心跳選項，允許SSL連接一端的電腦發出一條簡短的信息，確認另一端的電腦仍然在線，并獲取反饋。研究人員發現，可以通過巧妙的手段發出惡意心跳信息，欺騙另一端的電腦泄露機密信息。受影響的電腦可能會因此而被騙，并發送服務器內存中的信息。
??? 該漏洞的影響大不大？
??? 很大，因為有很多隱私信息都存儲在服務器內存中。普林斯頓大學計算機科學家艾德·菲爾騰(Ed Felten)表示，使用這項技術的攻擊者可以通過模式匹配對信息進行分類整理，從而找出密鑰、密碼，以及信用卡號等個人信息。
??? 丟失了信用卡號和密碼的危害有多大，相信已經不言而喻。但密鑰被盜的后果可能更加嚴重。這是是信息服務器用于整理加密信息的一組代碼。如果攻擊者獲取了服務器的私鑰，便可讀取其收到的任何信息，甚至能夠利用密鑰假冒服務器，欺騙用戶泄露密碼和其他敏感信息。