CS50 Live, Episode 006
目录:
互联网上近70%的流量使用 OpenSSL 来保护数据传输。这意味着几乎所有的主要服务器(阅读:网站)都使用OpenSSL来保护您的数据,例如登录凭证。然而,谷歌的某个人在OpenSSL中发现了一个错误 - 这是一个小小的编程错误,但却足以将您的数据泄露给黑客 - 他们愿意将您的数据用于他们的目的。这个OpenSSL错误被命名为 Heartbleed ,因为它与某些OpenSLL的HeartBeat层紧密相关。
什么是Heartbleed Bug
大多数服务器接受加密数据,使用加密密钥对其进行解码并转发它用于处理。由于大多数服务器采用FIFO(先进先出)方法为终端用户提供服务,通常,服务器内存中的数据(解密后)会在服务器内存中存储一段时间,然后再由服务器进行进一步处理。
Heartbleed Bug是几乎所有基于互联网的商业网站和其他类型的情况都令人担忧。这种编程错误使黑客能够检查任何使用OpenSSL的服务器并读取/保存/使用未加密的数据(解密的数据)。黑客现在不仅可以访问您的数据,还可以复制制作互联网的网站证书,甚至更危险的地方。随着网站证书的副本,黑客可以创建模仿网站:类似于原始网站的网站。这样,他们可以进一步访问您的数据,如信用卡详细信息,个人信息等。
听起来很可怕,不是吗?这确实是因为它可以访问您的信息,并且该信息可以用于任何目的。
注意:Heartbleed还具有代码名称CVE-2014-0160。 CVE代表常见漏洞和暴露。这些与漏洞等相关的代码由MITRE提供,MITRE是一个独立的机构,可以跟踪错误和类似问题。
我应该升级我的反病毒软件吗?
OpenSSL中的Heartbleed错误没有任何要求与您的防病毒或防火墙。这不是客户端问题,所以你可以做的很少。另一方面,服务器必须对他们正在使用的OpenSSL系统应用补丁。这样做,网站可以说是更安全的交互。
作为用户可以做的是减少对商业和类似网站的访问次数。这并不是说这个bug只影响商业网站。使用OpenSSL的所有类型的网站都是相同的。我说避免一段时间的商业网站,因为他们将成为黑客的主要目标,他们会希望你的卡详细信息等。这意味着黑客的主要目标将是使用OpenSSL的电子商务网站。
一旦你收到消息/报告错误已修复,您可以像发现错误之前所做的那样继续前进。 OpenSSL已经创建了一个补丁,并已发布给网站所有者以保护他们用户的数据。在此之前,尽量避免必须以任何形式提供数据的网站 - 甚至登录凭证。我相信几乎所有的网站管理员都必须参与补丁程序,但仍然存在问题。一旦确定没有任何漏洞或此类漏洞已被修补,那么更改密码可能是一个不错的选择。
同时,使用这些浏览器扩展来警告Heartbleed受影响的网站。
复制站点证书通过Heartbleed需要解决
网站安全证书很可能已被复制用于创建恶意网站。由于安全证书作为一般副本,您的浏览器可能无法区分。这是你必须保持谨慎。避免点击链接,而是在地址栏中输入网站的URL,以免重定向到某个虚假网站。
这个问题可以通过两种方式解决:
- 市场上可用的浏览器应该足够聪明以识别复制的证书并提醒您。
- 网站管理员在应用修补程序后更改证书<换句话说,即使网站管理员应用该补丁,也需要一段时间才能实施。我想重申,不要点击电子邮件或非知名网站中的链接。只需在地址栏中输入网址,或者如果将原始网站加入书签,就可以使用书签。
本文末尾的参考部分包含受影响网站的不完整列表。
参考文献:
心脏出血:网站
- OpenSSL:心脏出血安全咨询
- Git Hub:受影响网站列表
