关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。购买订阅有助于确保关于塑造我们当今世界的发现和想法的有影响力的故事的未来。
消费者习惯于每周都会看到有关又一个互联网安全漏洞或数据泄露的新闻,他们可能很难理解为什么 Heartbleed(通常使用的 Web 安全软件 OpenSSL 中的漏洞)有所不同。但它的确不同:像布鲁斯·施奈尔(Bruce Schneier)这样立场多元且不危言耸听的安全评论员,以及电子前沿基金会(Electronic Frontier Foundation)和 Ars Technica 都将该漏洞称为“灾难性的”。
施奈尔昨天在他的博客上写道:“如果用 1 到 10 的等级来衡量,这肯定是 11。”
那么:它是什么?你如何知道它是否会影响你?你该如何应对?
SSL(安全套接字层)是一种在 Web 上普遍使用的协议,用于保护传输中的机密用户信息。这包括但不限于用户 ID 和密码、信用卡详细信息和其他个人信息。当你在浏览器地址栏的地址开头看到 HTTPS 时,该语法表示正在使用 SSL 来加密你的计算机和另一端的 Web 服务器之间的流量。越来越多地使用 SSL 来保护用户在搜索引擎、Webmail 和社交网络中输入的查询和消息,使其在传输过程中无法被读取,这是 Web 对爱德华·斯诺登(Edward Snowden)关于国家安全局对互联网流量进行大规模监视的揭露的重要回应。
SSL 基于公钥密码学:也就是说,每个使用它的服务器都有一对互补的加密密钥,这些密钥由可信机构颁发的证书进行身份验证。使用公钥编码的材料(可以广泛传播)只能由保密的私钥解密,反之亦然。当你与此类服务器安全通信时,你的浏览器首先通过检查证书来检查服务器的身份。如果浏览器信任证书,它将使用服务器的公钥发回消息。然后,服务器发回数字签名的确认,并开始安全会话。你可以通过单击浏览器地址栏中 HTTPS 旁边显示的小锁图标来查看此身份验证的详细信息。要发挥作用,SSL 必须在软件中实现,然后将其整合到更大的产品中,例如 Web 服务器。最常见的此类实现是 OpenSSL,大约三分之二的 Web 服务器都在使用它。
Heartbleed 是一个两年旧的编程错误造成的,该错误允许攻击者诱骗运行 OpenSSL 的系统,使其无法检测地泄露服务器系统内存的内容。在给定的时刻,这些内容可以是任何东西——用户名和密码、信用卡号码,或者更具破坏性的是服务器的私有加密密钥。许多知名的网站都受到了影响,包括 Yahoo!(及其子公司 Tumblr 和 Flickr)、约会网站 OKCupid 以及匿名浏览系统 Tor。
像 2013 年 12 月 Target 的泄露事件相比之下比较简单。它的范围很大——DatalossDB.org 将泄露的记录数量定为 1.1 亿条——但边界大致已知。消费者知道他们是否处于风险之中,供应商和客户等业务合作伙伴也是如此。相比之下,Heartbleed 是数百万个人和企业在全球范围内信任的用来保护从零售网站到邮件服务器的系统的基本技术中的一个漏洞,而且由于无法知道可能复制了哪些信息,因此确切的规模可能永远无法明确。
解决此问题是一个多阶段的过程:站点工程师需要修补其服务器软件(这可能需要等待其供应商提供补丁),撤销其旧证书和密钥,并颁发新证书和密钥。因此,像防病毒公司 Sophos 这样的专家说,在此工作完成之前更改你的密码不会让你变得不那么脆弱,尽管你可能仍然希望这样做。如果你现在更改了所有密码,请确保在修复网站后再次返回并执行此操作。但是,你应该立即更改在受影响的网站上使用过的其他网站的密码。考虑使用 LastPass、1Password 或 Password Safe 等密码管理器,以便更轻松地生成随机且唯一的密码——为此,它们需要你记住一个(长!复杂!)的密码短语。
从长远来看,电子前沿基金会正在推动网站采用完美前向安全(Perfect Forward Security),这将消除攻击者使用网站私钥读取他们过去两年存储的数据的能力。