上周,当谷歌(Google)的一名研究人员和芬兰安全公司Codenomicon的一支团队分别报告称发现了名为“心脏出血”的互联网安全漏洞时,人们更加清晰地见识到了银行卡和信用卡数据以及网站登录名和密码等其他敏感信息的脆弱性。心脏出血漏洞既隐蔽又危险,可以让黑客们从服务器内存中每次窃取64KB数据(即使是加密数据也不例外)而不会留下任何痕迹。虽然终端用户对SSL/TLS的加密能力很放心,认为它们能使数据远离那些窥探的眼睛,但URL中的“https”和锁住的挂锁图标是残酷的骗局。
相关消息传出后,各个网站已经作出应对,更新了OpenSSL版本。OpenSSL是最常使用的SSL/TLS变体之一。SSL/TLS协议旨在实现非对称加密,为每个通信会话生成独一无二的私钥,对各方之间交换的信息进行加密和验证。但心脏出血漏洞使私钥和那些意图保密的信息变得更加容易窃取。而且,网站经营者完全不知道这是有可能的。
这个漏洞的危害有多大?安全专家布鲁斯·施奈尔(Bruce Schneier)在他的同名博客上写道:“服务器内存里的任何东西——SSL私钥、用户密钥和其他任何东西——都很容易受到攻击。你不得不假定它们都不安全。全部都是。”他接着说:“恕我直言, 灾难性 是合适的词语。如果用1到10来打分,它应该是11分。”
施奈尔是在危言耸听吗?可惜他不是。
他指出,使用OpenSSL的约50万家网站(包括他自己的网站)存在心脏出血漏洞。这是个坏消息。更糟的是,自从受影响的OpenSSL版本在2012年3月发布以来,这种使黑客可以窃取电子邮件、即时通讯、电子商务和其他所有信息的漏洞始终没有被发现。
《华盛顿邮报》(Washington Post)一篇讨论心脏出血漏洞的文章试图从乐观的角度来加以分析,写道:“这个漏洞可能从来没有被黑客发现,但几乎不可能知道究竟是不是如此。”但如果你相信没有黑客们曾经利用过这个机会,那么你可能会对我在内陆国家的一些海滨房产感兴趣。
至少,我们知道这个漏洞并非是作为恶意图谋的一部分而植入代码的。OpenSSL日志显示,德国开发者罗宾·西格尔曼(Robin Seggelmann)在2011年12月编写了该漏洞,但他说这完全是无意的。讽刺的是,当时西格尔曼的任务包括修复代码中存在的几个漏洞并增添新的功能。他对《悉尼先驱晨报》(Sydney Morning Herald)说:“不幸的是,在一个新功能中,我忘记验证一个包含字符串长度的变量。”
亡羊补牢的工作目前正在进行中。OpenSSL补丁已经公布,进行了版本更新的网站建议用户修改密码作为预防措施。但LaserLock科技公司的首席技术官保罗·唐弗里德(Paul Donfried)说,亟需的修复并非是补丁。该公司出售用于数字验证和防止伪造及身份欺诈的产品。
对于《华盛顿邮报》的那篇文章,他写道:
“心脏出血漏洞迫使大多数互联网用户修改他们所有的密码,导致大多数系统管理员给OpenSSL打补丁并安装新证书。值此之际,或许是时候问问,为什么人们还在使用密码来验证身份?采用了生物识别技术的验证方法非常强大,虽然无法保护存在漏洞的SSL代码片段,但能够避免身份盗窃、重复攻击以及我们现在不得不忍受的所有痛苦和折磨。整合了面部和语音识别技术、能在用户现有设备上运行的强大身份验证方法已经出现,这使我们不禁要问:真正想保护用户数据的网站为什么继续依赖于密码、PIN或其他任何可以共享的秘密?更加强大、更易于使用和更有弹性的方法就在眼前。”
唐弗里德的公司出售的产品旨在准确识别谁正在参与交易,这可以防止网络安全漏洞导致登录信息被窃取后遭到滥用。显然,这就是他提出上述观点的原因。但他主要担心的是,像心脏出血这样的安全问题没有削弱人们对互联网安全的整体信心。
“作为一个行业和互联网社区,我们有责任确保新的安全协议在发布之前经过军事级别的彻底测试。”唐弗里德说。
毫无疑问,他支持验证过程中将生物识别验证与带外通信相结合。“即使某些网站保护了用户的敏感数据,但用户很有可能在信息被窃取的其他网站上使用了相同的密码。”他说。而且,有些网站提供的只是安全的假象。“通常来说,通过SSL信道传送的第一个东西就是身份验证信息。不幸的是,使用OpenSSL的绝大多数网站都依靠这个安全协议来保护那类数据。”
这一切提出了两个重要的问题:还有没有仍然未被发现的其他“灾难性”互联网漏洞?登陆密码作为默认的身份验证方法还要沿用多久?
译 于波 校 陈岳林
本文来源:福布斯中文网
责任编辑:
王晓易_NE0011
