軟體會有漏洞是我們必須面對的現實,如果我們夠幸運且夠勤快,那就可以在網路犯罪份子攻擊它之前先加以修補。事實並不一定總是如此,但幸好那些算是例外,而不是常態。
不過最近新聞爆出了一個關於 OpenSSL 的Heartbeat擴充程式漏洞,這是個開放原始碼工具包,用來幫助網站管理員和開發人員讓交易更加安全。而這個漏洞如果被利用的話(因為此漏洞的本質,所以沒辦法知道網路犯罪份子是否已經如此做),可能代表有許多使用OpenSSL的網站和應用程式上的交易已經被危及了。
什麼是Heartbeat OpenSSL擴充程式?
OpenSSL在2011年12月左右推出名為Heartbeat的擴充程式,隨著1.0.1編譯版本發佈,被定義在RFC 6520 TLS/DTLS Heartbeat擴充程式。這個擴充程式的功能是幫助避免重新建立會話,並允許一個讓SSL會話可以維持更久的機制。該 RFC 建議 HeartbeatRequest 必須用HeartbeatResponse訊息回答。這結果會保存網路資源,資源一般用在完整會話的重新協商。
這裡要指出的是,OpenSSL被用在許多網站和軟體上,從開放原始碼的伺服器(像Apache和Nginx),到電子郵件伺服器,聊天伺服器,虛擬私有網路(VPN),甚至是網絡設備。
因此,可以很合理的假設Hearbead擴充程式已經被大量地應用,也讓這漏洞的影響範圍真的相當廣泛。
了解Heartbleed臭蟲
該漏洞被稱為Heartbleed臭蟲,存在於所有實作Heartbeat擴充程式的OpenSSL。當攻擊一個有漏洞的伺服器時,可以讓攻擊者一次讀取部分(最多64KB)的電腦記憶體而不會留下任何痕跡。
這一小塊記憶體可能會包含使用者重要的個人資料 – 私鑰、使用者名稱、密碼(在很多情況下是以明文的形式)、信用卡資料以及機密文件等等。攻擊者可以一再地要求記憶體區塊以盡可能地獲取他們所想要的資訊。而且這個漏洞可以被任何人從網路上的任何地方加以攻擊。
一個主要的網路內容供應商也受到此漏洞影響,他們迅速努力地修復它。但在它修復之前,有些惡意份子可能已經竊取了敏感資料。 繼續閱讀